Kaspersky: "Die bösen Buben sollen nicht von uns lernen"

Der russische Sicherheitsexperte Eugene Kaspersky war diese Woche zu Gast in Wien, um mit der Innenministerin über Bedrohungen für die Cybersicherheit zu sprechen (die futurezone berichtete). Die futurezone hat den Geschäftsmann zum Interview getroffen:

futurezone: Wie schätzen Sie den Stand der Cybersicherheitsbemühungen in Österreich im internationalen Vergleich ein?
Kaspersky: Alle europäischen Staaten bewegen sich etwa auf demselben Level, was Maßnahmen gegen Cybercrime betrifft. Sie kennen das Problem, teilen Daten und suchen gemeinsame Lösungen. Österreich ist verhältnismäßig gut gesichert, genau wie auch Russland, die USA und der Rest Europas. Die Polizei ist sehr aktiv und es werden Experten befragt. Ein reiches Land, das hier noch größeren Aufholbedarf hat, ist Japan, das durch seine Sprache, eigene Finanzdienstleister und die restriktive Einwanderungspolitik lange Zeit eine isolierte Position innehatte. Das ändert sich jetzt. Kriminelle verwenden beispielsweise Übersetzungssoftware. Japan ist nicht bereit. Die ersten Attacken haben die Verantwortlichen dort überrascht.

Wie sieht es mit China aus?
Über China gibt es keine Daten. Von dort kommen viele Attacken - vereinfachtes Chinesisch ist die am meisten für Cyberangriffe genutzte Sprache - aber es gibt keine Informationen über Opfer. Die chinesische Polizei ist sehr aktiv, spricht aber nicht darüber. Es werden nur inländische Experten zu Rate gezogen. Das Problem daran ist, dass es sehr viele Hacker in China gibt, aber kaum Experten.

Werden Sie einen Beratervertrag mit Österreich unterzeichnen?
Über den geschäftlichen Teil meiner Reise kann ich nicht viel sagen. Ein Vertrag wurde jedenfalls noch nicht unterzeichnet. Ich bin aber bereit, zu helfen.

In ihren Vorträgen zeichnen Sie das düsteres Bild einer Zukunft, in der nichts und niemand sicher ist. Ist das Verbreiten von Panik nicht kontraproduktiv?
Das sind ja nicht nur meine Vorhersagen, viele Experten sind dieser Meinung. Viele Prognosen aus der Vergangenheit sind inzwischen wahr geworden. Wir haben schon früh gewusst, dass es Angriffe auf kritische Infrastruktur geben wird, haben aber nichts gesagt, um Kriminelle nicht auf Ideen zu bringen.

Sie verdienen eine Menge Geld mit der Angst vor Cyberangriffen. Eine Übertreibung der Gefahr wäre aus unternehmerischer Sicht also eine gute Strategie.
Natürlich sprechen wir von den Worst-Case-Szenarien. Manche meinen, dass gar nichts passieren wird. Die Wahrheit liegt wohl irgendwo in der Mitte, aber wir brauchen die schlimmsten Befürchtungen, um auf das Problem aufmerksam zu machen. Wir müssen darüber reden, um vorbereitet zu sein. Nur so können wir Strategien, Services, Technologien und Aufklärungskampagnen entwickeln. Es geht uns auch nicht nur ums Geld. Wir sind auch im nichtkommerziellen Bereich tätig und unterstützen mit Know-How und Experten weltweit Universitäten bei der Ausbildung von IT-Experten.

Was wäre der schlimmste Zwischenfall, den sie sich vorstellen können?
Der schlimmste Fall wäre ein Angriff auf Stromnetze oder ähnliche Systeme. Das ist bisher noch nicht passiert, aber es gab schon weniger schlimme Beispiele, etwa die koordinierten Hackerangriffe, die 2007 mehrere wichtige Institutionen in Estland getroffen haben, oder die Attacke auf den Ölkonzern Saudi Aramco, bei dem 30.000 Computer infiziert wurden. 2013 gab es einen Angriff auf südkoreanische Banken und Fernsehstationen.

Wie könnte ein effektiver Angriff auf einen Staat heute aussehen?
Wir wollen keine Details bekanntgeben, damit die bösen Buben nicht von uns lernen, wie sie Schaden in Kraftwerken anrichten können.

Bis die Staaten angemessene Systeme und Regeln geschaffen haben, wird es Jahre dauern. Dann gibt es sicher schon ganz neue Bedrohungen. Kämpfen Sie gegen Windmühlen?
Es wird nicht nur Jahre, sondern Jahrzehnte dauern, bis die Cybersicherheit ein angemessenes Niveau erreicht. Da ist noch viel Arbeit nötig. Ein ein guter Teil der heute verwendeten Systeme und Software beispielsweise ist schon Jahrzehnte alt. Das müsste von Grund auf neu entwickelt werden. Das kann kein Staat in wenigen Jahren erreichen. Zudem ist das immer ein Wettrüsten, das niemals aufhört. Wir können einen sehr hohes Sicherheitsniveau erreichen, ähnlich wie es die Banken bereits haben, aber absolute Sicherheit gibt es nicht.