Hacker - Dieser Sicherheitsexperte wehrt Cyberangriffe auf den Aargau ab

Die Angriffe werden von einem modernen Bürogebäude hinter dem Aarauer Bahnhof aus abgewehrt. Hacker, die es auf den Kanton Aargau abgesehen haben, bekommen es mit Roger Mattmann (41) zu tun. Der Chief Information Security Officer, zu Deutsch: Verantwortlicher für Informationssicherheit, sitzt am langen Tisch im grossen kargen Sitzungszimmer und erklärt, wie er die kantonale Verwaltung vor Cyberattacken zu schützen versucht, die häufiger und perfider werden.

Herr Mattmann, wir haben diesen Interviewtermin per Mail vereinbart. Haben Sie mir verschlüsselt geschrieben?

Roger Mattmann: Nein, um einen Termin dieser Art zu bestätigen, ist keine Verschlüsselung nötig. Nicht alle Mails sind gleich heikel. Seit einigen Monaten haben wir beim Kanton in der ganzen Verwaltung die Möglichkeit, besonders schützenswerte Daten wie Gerichts- oder Steuerunterlagen mit einem Klick gesichert zu versenden.

Muss man in Ihrem Beruf ein guter Hacker sein?

Eine gewisse Affinität ist sicher von Vorteil, um die Seite der Hacker besser zu verstehen. In meiner Funktion ist dies allerdings nicht zentral.

Wie erklären Sie einem Laien Ihre Arbeit?

Als Beauftragter für die Informationssicherheit bin ich für den Schutz aller Informationen der kantonalen Verwaltung zuständig. Dazu zählt beispielsweise, dass die Mitarbeitenden einen sicheren Umgang mit Informationen und Informatikmitteln pflegen. Ich muss dafür sorgen, dass ihnen für die tägliche Arbeit eine sichere, aber dennoch einfach nutzbare Infrastruktur zur Verfügung steht.

Schlagzeilen machten Angriffe auf Unternehmen. Inwiefern ist eine kantonale Verwaltung ein interessantes Ziel für Hacker?

Der Bund ist vermutlich attraktiver für Angriffe als einzelne Kantone – insbesondere dann, wenn Interessen anderer Staaten im Spiel sind. Bei Firmen ist der finanzielle Aspekt spannend, etwa die Zusammensetzung von Medikamenten in der Pharmabranche. Aber auch beim Kanton gibt es heikle Bereiche wie Steuern oder Gesundheit. Unterschieden werden müssen zwei Arten von Angriffen: Einerseits die Massenangriffe mit Spam wie etwa E-Banking-Mails, die man am Laufmeter sieht, andererseits die gezielten Attacken wie jüngst auf die Ruag. Ich habe den Eindruck, vom Massenversand sind alle gleichermassen betroffen, da schauen die Angreifer nicht, ob nun Private oder der Kanton angegriffen werden – die Mails gehen überall hin. Bei den gezielten Angriffen steht der Kanton ebenfalls im Fokus, weil er über sensible Daten verfügt.

Nehmen Hacker-Attacken zu?

Ja, insbesondere die Massenangriffe. Früher registrierten wir monatlich Vorfälle, heute wöchentlich. Dazu kommt: Die Qualität der Angriffe ist massiv gestiegen. Das macht es für die Mitarbeitenden schwieriger, einen Angriff zu erkennen, weil etwa Mails besser formuliert und authentischer gestaltet sind.

Kommen auch die gezielten Angriffe auf den Kanton gehäuft vor?

Ja, sie nehmen zu. Dabei spielt das sogenannte Social Engineering eine zentrale Rolle. Vor der Attacke versuchen die Angreifer, an möglichst viele Informationen zu gelangen. Dazu rufen sie bei der entsprechenden Stelle an und stellen gezielt Fragen. Mit den Vorinformationen wird dann bei einer weiteren Stelle angerufen. Auf diese Weise erhoffen sich die Hacker, Sicherheitslecks zu entdecken.

Welche Gefahr geht von Cyberangriffen aus?

Das hängt von den Zielen der Angreifer ab. Will er die Verwaltung eine Woche lahmlegen oder hat er es auf bestimmte Informationen abgesehen? Je nachdem ist das Angriffsszenario ein anderes.

Können Sie ein Beispiel nennen?

Vor einigen Monaten haben wir am späteren Abend festgestellt, dass wir ein paar tausend E-Mails über die Kontaktformulare auf unseren Websites erhalten haben. Die Attacke dauerte zehn Minuten. Eine Gruppierung hat offensichtlich herausgefunden, dass über einen Roboter die Webformulare ausgefüllt werden können, was für uns eine Flut an Anfragen generierte. Das Mailsystem wurde stärker belastet als sonst. Doch zum Glück haben wir den Angriff rasch entdeckt.

Häufig sind solche Angriffe mit finanziellen Forderungen verbunden. In diesem Fall auch?

Nein, die Attacke hat nur wenige Minuten gedauert. Wir haben danach dafür gesorgt, dass dieses Einfallstor über die Website geschlossen wird.

Wurde der Kanton schon mal von Hackern erpresst?

In den eineinhalb Jahren, in denen ich beim Kanton Aargau bin, ist das noch nicht vorgekommen. Von Erpressungsfällen sind oft kleinere Unternehmen betroffen – insbesondere mit Verschlüsselungstrojanern, welche die Daten blockieren. Das Passwort wird erst gegen die Überweisung von hohen Geldbeträgen zugeschickt.

Die Hacker werden immer geschickter, entwickeln laufend neue Maschen. Hinken Sie ständig hinterher?

Eine schwierige Frage. Wenn man allein dagegen ankämpfen will, ist das sicher ein Problem. Die Hacker sind gut vernetzt. Seit einigen Jahren haben sich Sicherheitsbeauftragte der Kantone ebenfalls zusammengeschlossen und pflegen einen Austausch über Vorfälle und Abwehrstrategien, dadurch sind wir besser vorbereitet. Ein Wettrüsten findet auf beiden Seiten statt.

Terroristen übernehmen mit einem Hackerangriff die Kontrolle über Atomkraftwerke oder Spitäler. Ein realistisches Szenario?

Als Sicherheitsbeauftragter ist man ein Stück weit paranoid. Ich würde einen solchen Vorfall nicht ausschliessen. Es gibt Versuche, bei denen ein U-BahnSystem online nachgebaut worden ist, um zu untersuchen, wie lange es geht, bis Hacker angreifen und Züge kollidieren lassen. Bis zum ersten Vorfall dauerte es gerade mal zwei Tage. In der Schweiz haben wir verglichen mit anderen Ländern allerdings ein relativ hohes Sicherheitslevel.

Der Mensch als grösste Schwachstelle?

Ein IT-Sicherheitsexperte sagte einmal: «Im Mittelpunkt jeder Sicherheitsbetrachtung steht menschliches Handeln und Unterlassen.» Deshalb ist die Schulung zentral, die Mitarbeiter müssen informiert und sensibilisiert werden. Wir zeigen ihnen anhand von Beispielen, wo Gefahren lauern. Die Angriffe zielen in vielen Fällen auf die Hilfsbereitschaft und die Neugier der Mitarbeiter ab. Mit den technischen Hilfsmitteln allein lässt sich die Gefahr nicht bannen.

Welche Verhaltensregel ist zentral?

Die Grundsatzregel lautet: Den gesunden Menschenverstand einschalten. Macht es Sinn, dass mir diese Person ein Mail mit diesem Inhalt schickt oder mir diese Fragen am Telefon stellt? Wichtig ist ein gewisses Misstrauen. Die Hacker versuchen, die Leute hinters Licht zu führen.