Cybernotruf 119 – Seite 1

Der Raum ist fensterlos, voller Bildschirme und ziemlich eng. Ungefähr zwanzig Arbeitsplätze befinden sich darin, gestaffelt in drei Reihen. Die Stirnseite des Raumes dominieren Bildschirme voller Grafiken, Statistiken und Zahlen. Wer in Deutschland die 110 wählt, den Notruf der Polizei, der landet in so einem ähnlichen Raum. Doch das hier ist nicht der Polizeinotruf und der Raum befindet sich auch nicht in Deutschland. Er befindet sich in Beer Scheva in der Wüste Negev, mitten in Israel. Es ist die Anlaufstelle des landesweiten israelischen Cybernotrufs 119.

Wer in Israel ein Problem mit einem Rechner hat, kann seit Februar 2019 offiziell die kostenlose Nummer wählen und wird zu einem der Menschen durchgestellt, die dort arbeiten. Die Arbeitsplätze sind immer besetzt, jeden Tag, rund um die Uhr. Ob man fürchtet, dass Kriminelle das E-Mail-Konto übernommen haben, oder sich sorgt, dass die ganze Firma gehackt wurde – unter 119 findet sich Hilfe. Dort sitzen Männer und Frauen, IT-Experten rekrutiert aus den Cybereinheiten der israelischen Armee, aus Universitäten und speziellen Ausbildungsprogrammen für Cyberabwehr. Sie beantworten jede Frage. Im Zweifel können sie – wie die Polizei – Notfallteams losschicken. Es ist weltweit der wohl erste staatliche Notruf dieser Art.

Circa 120 Anrufe würden jeden Tag eingehen, sagt Lavy Shtokhamer, der Chef des israelischen CERT, das den Notruf betreibt. CERT ist eine Abkürzung für Computer Emergency Response Team. Es untersteht dem israelischen National Cyber Directorate (INCD), der Regierungsbehörde für alles, was das Thema IT betrifft. "Natürlich sind darunter auch Anrufer, die fürchten, dass Aliens ihre Klimaanlage gekapert haben", sagt Shtokhamer. Aber es seien auch jeden Tag mindestens 20 echte Notfälle und kriminelle Angriffe dabei.

Der Kampf verlagert sich ins Netz

Eine Struktur wie in Beer Scheva gibt es auch in Deutschland. Dort ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Behörde, die das nationale CERT betreibt. Und auch dieses CERT warnt vor Sicherheitslücken, veröffentlicht Ratschläge und berät bei Notfällen. Doch ist es vor allem für Behörden, Organisationen und Firmen zuständig, die als sogenannte kritische Infrastruktur gelten. Eine Notrufnummer für alle Bürgerinnen und Bürger hat es nicht. Das israelische CERT hingegen verstehe sich ausdrücklich als Behörde, die für die gesamte IT-Infrastruktur im Land zuständig sei, sagt Shtokhamer.

Überwachungskameras an jeder Ecke, bewaffnete Soldaten in den Straßen, Taschenkontrollen an den Eingängen von Einkaufszentren – Sicherheit wird in Israel ernst genommen, sehr ernst. Es ist ein kleines Land mit vielen Feinden. Was das im Alltag heißt, ist überall zu sehen, auch im CERT. Auf einem der Bildschirme an der Stirnseite des Raumes ist neben einem runden Symbol eine auffällige, rote Drei zu sehen. Was sie bedeute? Die Zahl zeige an, wie viele Raketen innerhalb der vergangenen Minuten auf Israel abgefeuert wurden, sagt Shtokhamer.

Aber der Kampf wird längst nicht mehr nur am Boden geführt, sondern auch im Netz. Israel befinde sich, auch wenn es um die IT-Sicherheit gehe, in einer "harten Nachbarschaft", sagt ein hochrangiges Mitglied der mit Cybersicherheit befassten Behörden. Außerdem sei dank der globalen Vernetzung inzwischen "die gesamte Welt eine einzige harte Nachbarschaft".

Das CERT in Beer Scheva soll dabei helfen, das Land besser vor gefährlichen Nachbarn zu schützen, so wie es die Iron Dome genannte Raketenabwehr am Himmel tut. Die Wirkung dieses etwas anderen Ansatzes zeigte sich kürzlich erst.

In Deutschland noch 1.500 Netzwerke offen – in Israel null

Eine Sicherheitslücke in den Produkten des Unternehmens Citrix führte weltweit dazu, dass zahllose Behörden und Firmen erheblicher Gefahr ausgesetzt waren. Citrix verkauft Programme, die es erlauben, Netzwerke oder einzelne Rechner ohne physischen Zugriff darauf aus der Ferne zu warten. Das ist praktisch, um von zu Hause aus zu arbeiten und trotzdem noch auf Dateien zugreifen zu können oder Maschinen zu aktualisieren, die in weit entfernten Rechenzentren stehen. Aufgrund der Schwachstelle aber konnten Angreifer Spionagesoftware einspielen oder Rechner und Netzwerke komplett übernehmen.

Seit dem 17. Dezember ist die Schwachstelle öffentlich bekannt. Am 7. Januar informierte das BSI betroffene Netzbetreiber über das Problem. Es warnte vor den Gefahren und empfahl das Einspielen einer aktualisierten Software. Am 16. Januar informierte das BSI erneut und forderte nun bereits "dringend" dazu auf, die Software zu aktualisieren und das Problem dadurch zu beheben. Getan haben es trotzdem längst nicht alle, weiterhin sollen von den mehr als 5.000 betroffenen ungefähr 1.500 Netzwerke offen gestanden haben, darunter Unternehmen und Behörden. "Leider reagieren die betroffenen Unternehmen oft nur langsam", schrieb BSI-Präsident Arne Schönbohm in einer Mitteilung. So langsam, dass der Fall inzwischen unter dem Schlagwort Shitrix bekannt ist und viele Medien darüber berichteten.

Jedes einzelne Unternehmen angerufen

In Israel hat die Sicherheitslücke keine Schlagzeilen gemacht. Dabei waren auch dort mehrere Tausend Rechner und Systeme gefährdet. Doch das israelische CERT empfiehlt in solchen Fällen nicht nur, es ruft die betroffenen Unternehmen an – jedes einzelne. Solange, bis sie reagieren. "Zur Not werden die Anrufe bis zum Vorstandschef oder dem Verwaltungsrat eskaliert", sagt Paul Moskovich, stellvertretender Direktor der nationalen Cyberbehörde INCD, die für das CERT zuständig ist. So seien in Israel innerhalb von weniger als vier Wochen alle offenen Systeme gesichert worden.

Genauso schnell habe man die Schwachstelle in der VPN-Software Pulse Secure landesweit schließen können, sagt Shtokhamer. Auch das ist eine Fernwartungssoftware, die aufgrund eines Fehlers Kriminellen ein gefährliches Einfallstor bietet. Das Problem ist noch viel länger bekannt als die Lücke in Citrix. Bereits im April 2019 hatte der Hersteller selbst es öffentlich gemacht und ein Patch, also ein Programm für die Fehlerbehebung, bereitgestellt. Im August hatten zwei Wissenschaftler auf der IT-Konferenz BlackHat in den USA dann demonstriert, dass sich die Schwachstelle tatsächlich für Angriffe ausnutzen lässt.

Scans hätten gezeigt, dass Israel zu dieser Zeit im Vergleich der davon betroffenen Systeme weltweit auf Platz neun lag. Daraufhin habe man sofort begonnen, die Unternehmen anzusprechen, sagt Shtokhamer. Nur drei Wochen später habe es in Israel keine ungesicherten Rechner mehr gegeben. Deutschland übrigens lag bei den Scans im August 2019 auf Platz fünf. Und bis heute gibt es laut heise online noch 140 VPN-Server, deren Betreiber ihre Software nicht überholt haben und die aufgrund der Schwachstelle angegriffen werden können.