»Wir brauchen mehr Austausch«
Hacker:innen zur Verantwortung zu ziehen stellt eine enorme Herausforderung dar. Doch Unternehmen können sich besser vor ihnen schützen, sagt Sandra Joyce, Vizepräsidentin von Mandiant Intelligence, ein auf Cybersicherheit spezialisiertes Unternehmen, das jetzt zu Google gehört
5 Minuten Lesezeit
Frau Joyce, Sie arbeiten seit vielen Jahren in der Cybersicherheit. Wie haben sich Cyberattacken in den letzten Jahren verändert – und womit dürften wir künftig noch konfrontiert werden?
Ich erinnere mich an einen Vortrag, den ich vor fünf Jahren in Frankreich gehalten habe. Als ich damals sagte, dass einige Hacker:innen 300 000 Euro Lösegeld forderten, war jeder im Publikum schockiert. Heute sind Lösegeldforderungen von zehn Millionen US-Dollar und mehr ziemlich normal. Das ist nur ein Beispiel, das zeigt: Ausmaß und Häufigkeit von Cyberkriminalität haben in den letzten Jahren dramatisch zugenommen.
Wie haben sich dagegen die Fähigkeiten im Bereich Cybersicherheit entwickelt?
Die haben sich in der letzten Zeit sehr verbessert. Zusammen mit der Demokratisierung von Information sehen wir jetzt auch eine Demokratisierung von Cybersicherheit. Sogar kleinere Staaten haben die Fähigkeit, etwas beim Thema Cybersicherheit zu bewirken. Und auch die Public-Cloud-Technologie demokratisiert die Sicherheit.
Mandiant unterstützt Firmen auf der ganzen Welt dabei, sich gegen Cyberattacken zu schützen. Wie lautet Ihr wichtigster Rat an Unternehmen?
Ransomware ist momentan das dringendste Problem. Etwas, auf das man sich vorbereiten muss. Als Unternehmen sollten Sie mit Ihren Entscheidern Trainings durchführen und proben, wie Sie im Falle einer Ransomware‑Attacke vorgehen. Sonst kann Sie ein tatsächlicher Angriff eiskalt erwischen. Unternehmen sollten zudem prüfen, wie gut sie ihre Netzwerke segmentiert haben. Die Kronjuwelen …
... sensible Daten und Informationen ...
... sollten isoliert werden von den Netzwerken, in denen die tägliche Arbeit erledigt wird. Und schließlich sollten Sie als Unternehmen in der Lage sein zu erkennen, wenn ein Einbruch in Ihr IT-System stattfindet. Wenn das nicht der Fall ist, sorgen Sie dafür, dass diese Kompetenz in Ihrem Unternehmen vorhanden ist. Denn die meisten Angreifer:innen werden erst nach einiger Zeit aktiv, je nachdem, welche Ziele sie verfolgen. Wenn sie Ransomware einschleusen wollen, agieren sie so schnell wie möglich, aber auch das kann immer noch mehrere Stunden oder Tage dauern. Wenn die Angreifer:innen darauf aus sind, Informationen zu erhalten und Spionage zu betreiben – sie etwa im Auftrag von Regierungen agieren –, bleiben sie jahrelang im Netzwerk und beobachten und sammeln Daten.
Wie genau unterstützt Mandiant Unternehmen gegen Cyberattacken?
Wir arbeiten in zwei großen Bereichen: Incident Response und Threat Intelligence. Wenn ein Unternehmen von einem Sicherheitsvorfall betroffen ist, kann es sich an uns wenden. Dann unterstützen wir es dabei, die Angreifer:innen im Netzwerk aufzuspüren und die Lage zu entschärfen, und wir machen Vorschläge, wie das Netzwerk neu aufgesetzt und die Situation geklärt werden kann. Unsere andere Kernkompetenz ist proaktiver: Wir suchen im Internet ständig nach verdächtigen Aktivitäten von Angreifer:innen. Wir beobachten das Deep- und das Darknet, wo sich Hacker:innen austauschen. Wenn diese beispielsweise Daten anbieten, die sie erbeutet haben, warnen wir die betroffenen Unternehmen, dass sie ein Sicherheitsproblem haben – manchmal sogar, bevor sie das Problem überhaupt bemerken.
Wie gelangen Sie in diese Darknet-Foren?
Wir sind dort notwendigerweise unter falscher Identität unterwegs und lesen mit, wenn Hacker:innen sich austauschen.
2022 hat Google Cloud Mandiant übernommen. Was bringt Mandiant mit zu Google und den Kunden von Google Cloud?
Wir sind immer noch ziemlich neu bei Google, aber wir sind schon dabei, mithilfe unserer Erkenntnisse Einzelpersonen über Bedrohungen zu informieren, Googles eigene Cyberabwehr zu stärken und die Sicherheitsprodukte für Google Cloud und seine Kunden zu erweitern. Mit unserem Wissen können wir einen wichtigen Beitrag leisten, denn wir kennen Bedrohungen aus der ganzen Welt, nicht nur aus der Google‑Umgebung.
Inwieweit verändert die gegenwärtige politische Lage die Cybersicherheit?
Der Angriffskrieg Russlands gegen die Ukraine etwa hat die Cyberabwehr anfangs in erhöhte Alarmbereitschaft versetzt. Es besteht die Gefahr russischer Cyberaggression über das ukrainische Kampfgebiet hinaus. So gab es bereits einige Angriffe auf die Internetseiten von US-Flughäfen, die von Hacktivist:innen mit Verbindungen zur russischen Regierung verübt wurden. Aber die Auswirkungen in diesen und anderen Fällen waren bis heute minimal. Hacker:innen versuchen auch, falsche Informationen zu streuen; russische Hacktivist:innen konzentrieren sich darauf, einen Keil zwischen die Ukraine und ihre Verbündeten zu treiben.
»Mit unserem Wissen können wir einen wichtigen Beitrag leisten, denn wir kennen Bedrohungen aus der ganzen Welt, nicht nur aus der Google‑Umgebung«
Sandra Joyce
Wie steht es um die »Big Four« im Cyberraum, Russland, Iran, China und Nordkorea? Was können wir in Zukunft von ihnen erwarten?
Alle vier sind relevant und zurzeit sehr aktiv. Russland ist dieser Tage ziemlich selbsterklärend mit seinem Vorgehen in der Ukraine. Nordkorea nutzt Kryptowährungsbörsen und Infrastrukturen für Kryptomining aus, um die Aktivitäten der Regierung zu finanzieren. Iran ist allgemein sehr agil, wir beobachten hier eine ständige Aktivität und haben mit dem Iran verbundene Akteure entdeckt, die Länder wie Albanien im Visier haben. Und wir sehen, dass China wieder viel Spionage und Diebstahl von geistigem Eigentum betreibt.
Wie schätzen Sie die gegenwärtige Situation im Bereich Cybersicherheit in Deutschland ein?
Wie viele Länder erfährt Deutschland gerade eine zunehmende Anzahl von Ransomware-Angriffen. Auf den Seiten, auf denen gestohlene Daten getauscht werden, zählen wir regelmäßig die Betroffenen nach Ländern. In Deutschland hat sich ihre Zahl seit 2020 verdoppelt. Die Länder, die im Bereich Cybersecurity äußerst erfolgreich sind, haben sehr enge Verbindungen zum privaten Sektor – national und international. Weil Cybersicherheit ein »Mannschaftssport« ist, kann man sie nicht alleine bewerkstelligen. Deutschland ist auf dem Weg dahin.
In vielen Fällen werden Hacker:innen für ihre Angriffe nicht zur Verantwortung gezogen. Sehen Sie eine Möglichkeit, das zu ändern?
Viele der Cyberkriminellen sitzen in Ländern, in denen sie weder von Europol noch von US-Behörden verfolgt werden können. Wenn sie beispielsweise von irgendwo in Russland aus agieren, können sie weiter hacken, ohne bestraft zu werden. Daher wird Cyberkriminalität weiterhin nur mit einem geringen Risiko verbunden sein – was verlockend ist. Auch das ist ein Grund, warum sie uns so lange erhalten bleiben wird, bis sich die Beziehungen zwischen Regierungen verbessern und diplomatische Lösungen gefunden werden.
Und wie sollte man dieser Herausforderung begegnen?
Angreifer:innen sind am erfolgreichsten, wenn ihre Opfer nicht miteinander reden. Wir müssen viel offener Informationen über Sicherheitsverletzungen und Bedrohungen austauschen. Und: Das Internet wurde in seinen Anfängen entwickelt, ohne den Sicherheitsaspekt zu berücksichtigen. Aber wenn wir künftig Neues in das Internet integrieren, sollten Sicherheitsüberlegungen und -konzepte von Beginn an mit eingebunden werden.
Fotos: Jared Soares; Illustration: Camilo Huinca