Beobachter: Erst vor kurzem hat ein neuer Hackerangriff diverse Schweizer Firmen lahmlegt. Sind Sie überrascht?
Gunnar Porada: Nein. Wer jetzt erschrocken ist, hat bisher nichts mitbekommen. Seit 30 Jahren greifen Viren und Trojaner Computer an. Die Erpressersoftware, Ransomware genannt, sperrt Computer und verschlüsselt Daten. Neu ist, dass der Angreifer dabei sichtbar wird.

Beobachter: Werden viele Angriffe geheim gehalten?
Porada: Ja. Kein Unternehmen gibt freiwillig zu, dass es gehackt worden ist – aus Angst vor der Reaktion der Kunden. Ich kenne katastrophale Fälle, die nicht öffentlich bekannt wurden.

Beobachter: Wie hoch ist die Dunkelziffer?
Porada: Ich schätze um die 90 Prozent. Viele Firmen kommunizieren einen Angriff erst, wenn sie ihn nicht mehr verstecken können. Andere merken nicht, dass sie gehackt wurden – bis gestohlene Kundendaten auftauchen oder sie erpresst werden. Die Vertuschungsstrategie spielt den Angreifern in die Hände. Bekannt gewordene Schäden zeigen, wie wacklig das ganze IT-Gefüge ist. Nun können das die Chefs nicht mehr ignorieren.

Beobachter: Sind Schweizer Firmen gut geschützt?
Porada: Allgemein ist der Zustand der IT in der Schweiz und im EU-Raum schlecht. Länder wie die USA, China, Israel oder Russland investieren viel mehr in IT-Sicherheit. Sie bezahlen beispielsweise hohe Prämien für die Bekanntgabe von Software-Sicherheitslücken. Wir hinken weit hinterher. 

Beobachter: Warum?
Porada: Das frage ich mich auch.

Beobachter: Wie sicher sind kritische Infrastrukturen wie Energieversorgung, Verkehrssteuerungen oder Atomkraftwerke?
Porada: Hundertprozentige Sicherheit gibt es nicht. Im Grunde können wir nur hoffen. Wenn man sieht, wie oft Firmen angegriffen werden, muss man davon ausgehen, dass auch kritische Infrastrukturen attackiert werden. Wir wollen uns vorstellen, dass sie besonders geschützt sind, und dafür wird viel Aufwand betrieben. Trotzdem wurde in der Schweiz mit der Ruag sogar ein Rüstungskonzern gehackt, was zwei Jahre lang unentdeckt blieb. Nach meinem Eindruck brachten die Behörden den Angriff auf die Ruag bewusst in die Medien, um auf das Problem aufmerksam zu machen. 

Beobachter: Ist ein Angriff auf ein AKW möglich?
Porada: Es ist nur eine Frage der Zeit, bis das passiert. Das heisst aber nicht, dass der Angriff auch erfolgreich ist. Zum Glück will bisher – zumindest unter normal denkenden Menschen – niemand, dass ein AKW hochgeht. Es gibt aber auch verrückte Angreifer. Und solche, die aus Versehen etwas auslösen, was offenbar jetzt in Tschernobyl passiert ist.

Beobachter: Laut Experten haben Fremde längst Zugriff auf kritische Infrastrukturen.
Porada: Ja, davon ist auszugehen. Dass wir so schlecht vorbereitet sind, liegt auch daran, dass die Verantwortlichen das nicht verstehen. Denken Sie nur daran, wie leichtfertig Angela Merkel sagte, das Internet sei Neuland. Nach 20 Jahren reden wir immer noch über Basics – eine Katastrophe! Die Gesellschaft ist sehr verwundbar geworden, weil überall IT eingebaut ist. Und in der Regel mit schlampiger Sicherheit. Man könnte viel mehr tun, um die Sicherheit zu verbessern.

«Die Schweiz sollte eigene Geräte und eigene Software bauen.»


Gunnar Porada, 43, ist ein Hacker der ersten Stunde. Bekannt wurde er durch Live-Auftritte. Heute berät er mit seiner IT-Sicherheitsfirma europaweit Firmen und staatliche Behörden. Porada lebt mit seiner Familie in Weggis LU.

Gunnar Porada.
Quelle: Privat

Beobachter: Sie staunten kürzlich in einem Spital.
Porada: Ja, bei der Behandlung meiner Tochter im Kantonsspital habe ich auf dem PC des Chefarztes nostalgisch anmutende Software gesehen. Es war sicherheitstechnisch ein Alptraum. Ich hatte Bedenken, mein Kind da behandeln zu lassen.

Beobachter: Man hört immer wieder, dass Hacker durch sogenannte Hintertüren auf Systeme zugreifen konnten. Warum schliesst man die nicht einfach?
Porada: In vielen Ländern, etwa den USA und Russland, sind die Hersteller verpflichtet, Hintertüren für Geheimdienste einzubauen. Das ist nachvollziehbar, wir wollen ja vom Staat beschützt werden. Man kann so etwa Kriminelle aufspüren. Doch auch Unbefugte treten durch diese Hintertüren ein. Die sind meist als Schwachstellen in den Programmen versteckt, aber schlampig geschützt. Ich habe schon als Teenager über mutmassliche FBI-Frequenzen Telefongespräche in den USA belauscht. 

Beobachter: Wie können wir uns schützen?
Porada: Firmen und Behörden müssen erkennen, dass IT-Sicherheit Chefsache ist. Das kann man nicht delegieren. Langfristig bietet aber nur mehr Unabhängigkeit Schutz. Die Schweiz sollte anfangen, eigene Geräte und eigene Software zu bauen, vielleicht zusammen mit der EU. Dafür sollten wir sehr kompetente Leute ins Land holen.

Beobachter: Würden die USA unabhängige Technologien tolerieren?
Porada: Ohne Hintertüren kaum. Die Schweiz wird keine Lösungen auf den internationalen Markt bringen können, ohne den Geheimdiensten Zugriff zu ermöglichen. Wenn sie aber bestimmen könnte, wem sie welche Daten gibt, wäre das viel besser, als komplett die Kontrolle zu verlieren. Heute sind wir ausländischen Herstellern völlig ausgeliefert. Anderseits geniesst die Schweiz weltweit einen sehr guten Ruf. Den sollten wir auch in diesem Bereich nutzen.

Beobachter: Nach jeder Enthüllung, wie Geheimdienste unsere Daten sammeln, ist die Öffentlichkeit empört. Warum ändert sich trotzdem nichts?
Porada: Ein Grund mag sein, dass die meisten Leute bei komplexen IT-Themen nicht mitreden können. Mir fehlt die Diskussion in diesem Bereich. So sollten wir weltweit über die Rolle der Geheimdienste reden. Handeln sie tatsächlich im Interesse der Bevölkerung? Die US-Regierung kannte die Schwachstelle längst, die bei den «Wanna Cry»- und «Petya»-Attacken genutzt wurden. Doch sie wies die Hersteller nicht darauf hin. Die Schäden sind gewaltig.

Beobachter: Trotzdem landen immer mehr Daten in Clouds, und immer mehr Hausgeräte sind mit dem Internet verbunden.
Porada: Die Unsicherheit nimmt zu, die Schere bei der digitalen Machtverteilung öffnet sich weiter: Geheimdienste und einige Konzerne haben gigantische digitale Möglichkeiten, die Kunden sind machtlos. Mit der Cloud etwa gaben sie die Kontrolle über ihre Daten komplett aus der Hand – entgegen allen Sicherheitsargumenten. Die angeblichen Vorteile wurden so lange in die Köpfe der Firmenchefs getrieben …

Beobachter: ...von wem?
Porada: Das können Sie sich selber ausmalen. Das sind die, die von der Cloud profitieren – nicht die Kunden. Diese haben etwas weniger Kosten, aber ein viel höheres Sicherheitsrisiko.

Beobachter: Einige Kantone testen E-Voting-Systeme. Wie stehen Sie dazu?
Porada: Jeder IT-Security-Mensch sagt: Lassen Sie um Gottes willen die Finger davon – gerade angesichts der manipulierten E-Voting-Systeme in den USA. Wer das System hackt, hat die Kontrolle. Und es ist unmöglich, E-Voting sicher zu machen und gleichzeitig den Datenschutz zu berücksichtigen. Dass die politisch Verantwortlichen das einführen wollen, kann ich nicht nachvollziehen. Wenn Sie die Demokratie abschaffen möchten, ist dies der beste Weg dazu.

Die besten Artikel – Woche für Woche
«Die besten Artikel – Woche für Woche»
Tina Berg, Redaktorin
Der Beobachter Newsletter