Im Interview mit Report(+)PLUS erklärt Oberst Walter Unger, seit 2017 mit dem Aufbau eines Cyber-Verteidigungszentrums im Abwehramt des Bundesheeres verantwortlich, wie sich die nachrichtendienstliche Arbeit durch Cyber-Bedrohungen verändert hat. Außerdem spricht er über konkrete Bedrohungen, die Schwachpunkte von Staaten und Unternehmen und die »radikale Verkleinerung der Angriffsfläche« als wichtigstes Mosaiksteinchen der Cyber-Verteidigung.
Bild oben: »Cyber-Angriffe werden indirekt geführt und können als Dienstleistungen im Netz gekauft werden, quasi als Attack-as-a-Service«, sagt Oberst Walter Unger.
(+) plus: Das Abwehramt beschafft Informationen über »Bestrebungen und Tätigkeiten, die vorsätzliche Angriffe gegen Leben und Gesundheit von Personen, Infrastruktur und militärisch klassifizierte Informationen erwarten lassen«. Welche Rolle spielen dabei Cyber-Attacken?
Walter Unger: Die Masse der militärischen Geheimnisse liegt heute in digitaler Form vor. Es ist bekannt, dass weltweit viele Nachrichtendienste, Informationshändler, aber auch Amateure auf der Suche nach geheimen Informationen sind. Es kann daher davon ausgegangen werden, dass jegliche Informationen in ungeschützten, mit dem Internet verbundenen Systemen ausgespäht werden. Entsprechende Gegenmaßnahmen sind daher zwingend erforderlich.
(+) plus: Wie hat sich die nachrichtendienstliche Arbeit durch Cyber-Bedrohungen verändert?
Unger: Vor allem der Bereich der Auswertung und Analyse von offen verfügbaren Informationen, die sogenannte Open Source Intelligence OSINT, hat sich grundlegend verändert. Man schätzt, dass ungefähr 80 bis 85 Prozent der Berichte von Nachrichtendiensten auf OSINT basieren. Die Herausforderungen dabei sind die gigantisch verfügbaren und täglich neu hinzukommenden Datenmengen. Alle paar Monate verdoppelt sich die Menge der global verfügbaren Daten. Die Erfassung und zeitgerechte Auswertung dieser enormen Datenmengen ist für die Rechenleistung und den erforderlichen Speicherplatz sehr anspruchsvoll. Ebenso ist die Bewertung der Quellen und des Wahrheitsgehaltes eine noch wesentlich größere Herausforderung, die letztlich nicht von Software allein gelöst werden kann. Es braucht am Ende des Intelligence-Prozesses immer noch den erfahrenen und hochqualifizierten Analytiker.
Im klassisch operativen nachrichtendienstlichen Bereich kompensieren Cyber-Mittel teilweise den Einsatz von Personen. Es lassen sich so Informationen aus der Ferne beschaffen, ohne Einsatz der Personen vor Ort. Außerdem kann die Übermittlung von Ergebnissen technisch sehr gut unterstützt werden. Die nachrichtendienstliche Abwehr muss daher zur erfolgreichen Auftragserfüllung entsprechende technische Fähigkeiten entwickeln und anwenden.
(+) plus: Welche konkreten Gefahren und Bedrohungen gibt es?
Unger: Der Cyber-Raum ist eine Spielwiese für sogenannte »Script-Kiddies«, aber auch ein Aktionsraum für Aktivisten und Wutbürger, der Tatort für Kriminelle und Terroristen. Er kann zum Operations- als auch Kriegsgebiet für staatliche Cyber-Warrior werden. Die Akteure unterscheiden sich nach ihrer Motivation, Zielsetzungen, verfügbaren Ressourcen und Fähigkeiten.
(+) plus: Welche Bereiche sind aus Sicht des Abwehramtes am stärksten vom Cyber-Angriffen bedroht?
Unger: Staaten, Unternehmen, Organisationen und Einzelpersonen müssen mit Datenmissbrauch und subversivem Hacktivismus rechnen, also mit Cyber-Angriffen, um Geld zu ergaunern. Aber auch die Ausforschung und das Sammeln von Informationen sowie Sabotageangriffe gegen strategisch bedeutsame Unternehmen und Behörden sind für genannte Akteure eine Gefahr. Letztlich ist ein digitaler Stillstand eines Staates durch großangelegte Cyber-Attacken nicht auszuschließen.
Aber Cyber-Attacken kommen laufend und treffen jeden – Unternehmen, Behörden und Einzelpersonen. Die Angreifer werden immer professioneller und beschäftigen sich intensiv mit den Opfern, auch staatliche Akteure sind vermehrt zu beobachten.
(+) plus: Wie sehen Cyber-Angriffe in der Regel aus?
Unger: Mittels Ransomware und Distributed-Denial-of-Service werden Unternehmen, Behörden und Spitäler sowie Einzelpersonen erpresst. Angriffe werden indirekt geführt und als Attack-as-a-Service als Dienstleistungen im Netz angeboten. Derartige Übergriffe gegen strategische Infrastrukturen nehmen zu, Schadprogramme werden industriell gefertigt. Täglich tauchen 400.000 bis 500.000 neue Versionen auf. Mittelfristig muss vermehrt mit Angriffen beispielsweise auf Chipebene, gegen Cloud-Systeme, gegen Apps und gegen hochsichere Verschlüsselungen gerechnet werden. Weiters sind Cyber-Terrorattacken nicht auszuschließen. Angriffe gegen Betreiber kritischer Infrastrukturen könnten echte Krisen auslösen. Cyber-Angriffe als politisch-militärische Waffe im Vorfeld und in heißen Konflikten werden an Häufigkeit und Intensität noch zulegen.
(+) plus: Welche Ziele verfolgen sogenannte Cyber-Terroristen in der Regel?
Unger: Nach Peter Waldmann sind unter Terrorismus »planmäßig vorbereitete, schockierende Gewaltanschläge gegen eine politische Ordnung aus dem Untergrund« zu verstehen. Terrorakte sollen allgemeine Unsicherheit und Schrecken, daneben aber auch Sympathie und Unterstützungsbereitschaft erzeugen. Terrorismus ist also grundsätzlich als Kommunikationsstrategie zu verstehen, nach dem Motto: »Töte einen, erschrecke Tausende!«
Terroristen nutzen den Cyber-Raum für Kommunikation, Planung, Rekrutierung, Propaganda, Zielaufklärung und für das Einsammeln von Spenden.
(+) plus: Die IT-Infrastruktur eines Unternehmens zu schützen ist das eine, aber wie schützt man ein ganzes Land vor Cyber-Angriffen? Welche Bereiche haben oberste Priorität?
Unger: Moderne, hochentwickelte Staaten wie Österreich sind von ihren strategischen Infrastrukturen wie Stromversorgung, Telekommunikation, Internet, Flughäfen oder Krankenhäuser abhängig. Diese Infrastrukturen wiederum sind vom Funktionieren der IKT-Systeme und dem reibungslosen Fluss großer Datenströme abhängig. Eine Störung oder gar Zerstörung dieser Infrastrukturen kann schwerwiegende Auswirkungen auf die Gesundheit, die Sicherheit, das wirtschaftliche und soziale Wohl der Bevölkerung oder die effektive Funktionsweise von staatlichen Einrichtungen haben. Diese Infrastrukturen könnten daher zu vorrangigen Angriffszielen in einem mit Cyber-Mitteln ausgetragenen Konflikt werden. Großangelegte gegen den Gesamtstaat gerichtete Cyber-Angriffe könnten die Souveränität bedrohen und stellen sowohl die politisch-strategische Ebene als auch die militärische Landesverteidigung vor neue Herausforderungen. Zur Cyber-Verteidigung tragen insbesondere präventive Absicherungsmaßnahmen, die permanente Verfügbarkeit eines aktuellen Cyber-Lagebildes, die Frühwarnung, die Alarmierung, die Abwehr von laufenden Angriffen einschließlich offensiver Maßnahmen, die Sicherstellung der vitalen Funktionen sowie die rasche Wiederherstellung des Normalzustandes bei.
(+) plus: Wie kann man sich einen Cyber-Angriff auf die sensiblen Ziele eines Landes vorstellen?
Unger: Wie so ein Szenario ausschauen könnte, konnte man an den Cyber-Angriffen gegen Estland 2007, Georgien 2008 oder gegen die Stromversorgung der Ukraine 2015 und 2016 beobachten. Dabei wurden mit Schadprogrammen und -methoden Systeme der kritischen Infrastruktur sabotiert.
(+) plus: In einem Standard-Artikel wird das Bundesheer zitiert, dass es rund zehn Millionen Euro kosten würde, Österreich mit Cyberattacken und Sabotageaktionen gegen Glasfaserleitungen weitgehend auszuknipsen. Wie viel kostet es, sich gegen solche Angriffe zu wappnen? Sind genügend finanzielle und personelle Ressourcen vorhanden?
Unger: Diese Zahl ist eine Schätzung und hängt sehr davon ab, welche Schutzmaßnahmen bei den strategischen Infrastrukturen bereits umgesetzt sind. Der Schutz der eigenen Systeme ist zweifelsohne nicht billig, aber alternativlos.
Die eigenen Kosten sind tragbar, wenn die wesentlichen Grundsätze der Verteidigung im Cyber-Raum von vornherein berücksichtigt werden. Dazu gehört zunächst die radikale Verkleinerung der Angriffsfläche. Wir alle bieten derzeit ein viel zu großes Ziel. Es stellt sich die Frage, warum wichtige Steuersysteme wie Industrieroboter, Kläranlagen, Atomkraftwerke mit dem Internet verbunden sein müssen. Eine beim Österreichischen Bundesheer seit Jahrzehnten erfolgreich angewandte und bewährte Absicherungsmaßnahme wäre, die wichtigsten IKT-Systeme von unsicheren Systemen physikalisch zu trennen und die internen Netze zu segmentieren.
Klar ist, dass Angriffe grundsätzlich nicht zur Gänze zu verhindern sind. Auch die beste Verteidigung kann nicht alle Schäden abhalten. Daher müssen Cyber-Bedrohungen in das Risikomanagement einbezogen werden. Mit Notfallplänen und Redundanzen muss einem Totalverlust bzw. einem langfristigen Stillstand vorgebeugt werden. Weiters müssen die technischen Absicherungsmaßnahmen mit der Bedrohungsentwicklung Schritt halten. Statische Maßnahmen greifen zu kurz; es braucht dynamische, selbst optimierende, automatisch reagierende Systeme mit sehr hoher Performance.
(+) plus: Der IT-Sektor kämpft wie viele andere Bereiche mit einem enormen Fachkräftemangel. Mit welchen Maßnahmen versuchen Sie, die besten Köpfe für das Abwehramt zu begeistern?
Unger: Motiviertes, gut ausgebildetes Personal ist die Schlüsselressource beim Schutz der eigenen Cyber-Sphäre. Derzeit herrscht bei Unternehmen und Behörden eine sehr große Nachfrage nach IT-Experten. In Österreich können derzeit etliche tausende Stellen nicht besetzt werden.
Für das Militär haben wir mit der Fachhochschule Hagenberg in den 2000er-Jahren einen eigenen Bachelorlehrgang entwickelt, um eigenes Personal zu qualifizieren. Eine weitere Initiative war die 2012 begonnene »Cyber Security Challenge«, mit der Talente unter Schülern und Studenten gefunden, gefördert und ua. auch vom Bundesheer beworben werden sollen. Mit der Einführung einer Cyber-Ausbildung für Grundwehrdiener wurde ein weiterer Baustein gesetzt. Aktuell wird an Ausbildungsgängen für Offiziere und Unteroffiziere gearbeitet.
(+) plus: Wie sensibel sind Entscheidungsträger in Politik und Wirtschaft gegenüber Cyber-Bedrohungen? Wie ist es um das Wissen über das Gefahrenausmaß bestellt?
Unger: Sensibilisierung ist ein Dauerthema. Wenn man das Regierungsprogramm studiert, hat die Cyber-Herausforderung einen ganz prominenten Platz und ist vielfach angesprochen. Unser Beitrag ist die jährliche IKT-Sicherheitskonferenz, die heuer zum 17. Mal stattfand. Mehr als 2.500 Teilnehmer, davon 80 Prozent aus dem zivilen Bereich, und 50 Aussteller zeigten, dass Cyber ein ganz wichtiges Thema geworden ist. Nicht nur für das Militär, sondern für unsere ganze Gesellschaft.
Es geht um gesamtstaatliche, strategische Aufgaben. Österreich als Hochtechnologiestandort, als Innovationsweltmeister sollte Cyber-Sicherheit zu einem Standortvorteil entwickeln. Österreich mit seinen starken IT-Unternehmen könnte hier ein großer Spieler werden.
(+) plus: Wie gut ist Österreich gegen Cyber-Attacken geschützt?
Unger: Die Meldelage ist noch nicht so dicht, dass dazu valide und vergleichbare Aussagen gemacht werden können. Faktum ist, dass die Anzeigen wegen Cyber-Kriminalität immer noch deutlich ansteigen. Entscheidend aber ist, zu verhindern, dass Unternehmen letale Schäden erleiden oder gar ein digitaler Stillstand die Souveränität Österreichs bedroht.