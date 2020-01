Seit dem tödlichen Drohnen-Attentat des US-Militärs auf den iranischen General Kassem Soleimani fürchten die USA digitale Vergeltungsschläge des Iran. Das Heimatschutzministerium etwa warnte kurz nach den Anschlägen vor iranischen Cyberattacken auf kritische Infrastruktur in den USA, auch einige Sicherheitsforscher äußerten sich alarmiert. Zu Recht? Darüber haben wir mit Sven Herpig gesprochen, er ist Leiter für internationale Cyber-Sicherheitspolitik der Stiftung Neue Verantwortung.

ZEIT ONLINE: Herr Herpig, halten Sie es für berechtigt, dass die USA nun von möglichen Cyberangriffen aus dem Iran ausgehen?

Sven Herpig: Mehr als vorher. Man kann zwischen zwei Kategorien unterscheiden. Erstens gibt es etwas niedrigschwelligere Angriffe. Bei denen werden zum Beispiel Verschlüsselungstrojaner verschickt, das visuelle Erscheinungsbild von Websites verändert oder ähnliche Dinge. Dahinter steht in der Regel nicht direkt die iranische Regierung, sondern sogenannte patriotische Hacker.

Sven Herpig ist Leiter für Internationale Cyber-Sicherheitspolitik beim Thinktank Stiftung Neue Verantwortung in Berlin. Zuvor arbeitete er im Stab IT-Sicherheit des Auswärtigen Amts und als stellvertretender Referatsleiter für Cyber-Sicherheit in der Gesellschaft beim Bundesamt für Sicherheit in der Informationstechnik. © Stiftung Neue Verantwortung

ZEIT ONLINE: Also ein loser Zusammenschluss von Menschen, die den Iran unterstützen wollen und die über gewisse, aber nicht unbedingt übermäßig große IT-Kenntnisse verfügen.

Herpig: Könnte man so sagen. Seit dem Drohnenangriff der USA auf Soleimani kann man hier eine deutliche Zunahme der Aktivitäten erkennen – da wird versucht, alles Mögliche anzugreifen, was irgendwie mit den USA oder auch mit den USA befreundeten Staaten wie Israel und Kuwait zusammenhängt. Oft mithilfe von Onlinetools, die sich jeder herunterladen kann. Vergangene Woche ist zum Beispiel die staatliche Nachrichtenagentur der Kuwaitis, Kuna, gehackt worden. Einige Tage zuvor gab es einen Angriff auf die Website des US-amerikanischen Federal Depository Library Program – beides dürfte auf das Konto der patriotischen Hacker gehen. Solche Angriffe beeinträchtigen vielleicht die Reputation, richten aber wenig wirklichen Schaden an.

ZEIT ONLINE: Und die zweite Kategorie?

Herpig: Das sind Angriffe, die aller Wahrscheinlichkeit nach von nachrichtendienstlichen oder militärischen Cybergruppen der Iraner durchgeführt werden. Solche Advanced Persistent Threats gehen bei der Zielauswahl strategischer vor: Sie könnten sich kritische Infrastrukturen wie Stromnetze und Telekommunikationsinfrastrukturen vornehmen, aber auch politische Parteien.

ZEIT ONLINE: Advanced Persistent Threats, kurz APT – so werden Angreifergruppen genannt, die Sicherheitsforscher immer wieder hinter Angriffen sehen, weil sie ähnlich vorgehen.



Herpig: Genau. Es ist ja so: Es ist schwierig, herauszufinden, wer hinter einem bestimmten Angriff steht. Die Angreifer nutzen teils unterschiedliche Werkzeuge und folgen teils abgewandelten Mustern. Trotzdem helfen die Ähnlichkeiten in den Angriffen dabei, sie bestimmten Gruppen zuzuordnen. Und diese Gruppen werden oft mit bestimmten Staaten assoziiert. Der Iran dürfte hinter mehreren APT stehen, in Russland wird zum Beispiel APT29 dem Inlandsgeheimdienst FSB zugeordnet und APT28 dem Militärgeheimdienst GRU.

ZEIT ONLINE: Liest man, wie das US-Heimatschutzministerium und andere Behörden in den USA vor Cyberangriffen warnen, klingt das alarmierend: als ob bei einem Vergeltungsschlag aus dem Iran US-Amerikaner bald ohne Strom und Wasser dastehen könnten – oder Krankenhäuser lahmgelegt werden könnten. Ist das realistisch?

Herpig: Das hängt von zwei Faktoren ab. Die iranischen APT müssten über die Fähigkeiten und Zugänge verfügen, die für solche Angriffe nötig sind. Ich halte es für realistisch, dass das bis zu einem gewissen Limit der Fall sein kann. So etwas muss von langer Hand geplant werden. Ich gehe davon aus, dass die Iraner seit Monaten, wenn nicht sogar Jahren, immer wieder versuchen, Zugriff auf Industrien und kritische Infrastrukturen zu erlangen, um ihn bei Konflikten wie diesen einzusetzen. Man kann sich normalerweise nicht einfach innerhalb von ein, zwei Tagen Zugriff auf solche Systeme verschaffen, das braucht Zeit. Die zweite Frage aber ist, welche dieser Zugriffe die iranischen APT tatsächlich nutzen wollen. Welche Cyberangriffe sie dann tatsächlich durchführen, hängt ganz davon ab, inwieweit der Iran den Konflikt mit den USA aktuell eskalieren oder deeskalieren möchte. Denn solche Angriffe sind immer eingebettet in das gesamte strategische Konzept, wie man gegenüber dem anderen Staat reagieren möchte. Es ist schwer zu sagen, aber ich halte bei der aktuellen Lage einen iranischen Cyberangriff auf kritische Infrastrukturen für eher unwahrscheinlich – aber das kann sich natürlich über Nacht ändern.

Auf der iranischen Seite sind Menschen gestorben und Gegenstände zerstört worden. Viele Cybermaßnahmen, die nun durchgeführt werden könnten, sind im Vergleich dazu nicht wirklich eskalierend. Cybersicherheitsexperte Sven Herpig

ZEIT ONLINE: Der Iran hält sich also aus politischen Überlegungen zurück?

Herpig: Möglicherweise. Reagieren nur hier und da patriotische Hacker, dann könnte man aus sicherheitspolitischer Sicht sagen, das ist eher eine deeskalierende Maßnahme. Nutzen APT ihre Zugänge zu kritischen Infrastrukturen, dann kann das eine eskalierende Wirkung entfalten – wenn zum Beispiel Stromnetze ausgeschaltet würden. Aber Sie müssen das auch im Verhältnis sehen: Auf der iranischen Seite sind Menschen gestorben und Gegenstände zerstört worden. Das heißt: Viele Cybermaßnahmen, die nun durchgeführt werden könnten, sind im Vergleich dazu eigentlich nicht wirklich eskalierend.