Umdenken bei der Abwehrstrategie!
Schlagzeilen zu Cyber Kriminalität liest man immer öfter. Erst „stuxnet“, der Wurm R2D2, der Trojaner „Flame“, Duqu, Anfang dieses Jahres „Roter Oktober“. Der durch Cyber-Kriminalität verursachte Schaden beläuft sich auf 2,83 Mrd. Euro in Deutschland und auf 110 Mrd. US Dollar weltweit gemäß dem Norton Cybercrime Report 2012 von Symantec. Wir fragten bei Michael George, Referent für Informationssicherheit beim Bayerischen Landesamt für Verfassungsschutz, zum Thema Cyber Kriminalität nach.
Herr George, Kaspersky-Sicherheitsexperte Alexander Gostev bezeichnet Flame im Gespräch mit Wire.Com als „ziemlich fantastisch und unglaublich in Sachen Umfang“ und dass es zehn Jahre dauern würde, bis man alles verstanden habe. Wenn es zehn Jahre dauert, bis Experten diese Software verstehen, wie kann man da eine pro aktive Abwehr aufbauen? Hinkt man nicht immer dem Angreifer hinterher?
Das stimmt, wir hinken den Angreifern immer ein Stück hinterher. Das liegt an der Asymmetrie zwischen Angriff und Verteidigung. Dem Angreifer reicht eine einzige Lücke, um Erfolg zu haben, die Verteidiger dürfen sich dagegen nicht eine einzige leisten. Gleiches beim Faktor Zeit: während der Angreifer in alle Ruhe testen kann, ob eine Angriffsmethode zum Erfolg führt, steht der Verteidiger unter ständigem Zeitdruck etwaige Sicherheitslücken möglichst rasch zu erkennen und zu schließen. Aber es gibt Lösungen. Eine pro aktive Abwehr bedeutet von Haus aus sichere Systeme zu bauen – Security by Design also. Zugegebenermaßen keine leichte Aufgabe, aber der einzige Weg Hacker langfristig das Leben schwer zu machen. Bis wir soweit sind, hilft ein Umdenken in der Abwehrstrategie: wenn Systeme und Netze nur bis zu einem bestimmten sinnvollen Punkt zu schützen sind, muss man an den zu schützenden Daten ansetzen. Selbst, wenn es einem Hacker gelingt die Sicherheitsmaßnahmen eines Unternehmens zu überwinden, darf er keinen Zugriff auf die Kronjuwelen des Unternehmens erlangen. Diese müssen zusätzlich durch Zugriffsrechte, Verschlüsselung oder Datentresore geschützt sein.
Inzwischen gibt es nicht nur Trojaner, die es auf das Ausspionieren von Daten abzielen, sondern auch Remote-Access-Trojaner, durch die interne Systeme fremdgesteuert werden können. Welche Ziele verfolgen Cyber-Kriminelle? Und sind wir angesichts dieses Szenarios nicht doch schon mitten im Cyber-Krieg?
Cyber-Krieg halte ich für einen überzogenen und inflationär verwendeten Begriff. Krieg muss immer noch von einer Seite offiziell erklärt werden. Und denken Sie an Regelungen wie die für kriegerische Auseinandersetzung gültigen Genfer Konventionen. Wären ausgesetzte Trojaner und Viren wirklich so zu kontrollieren, dass sie weder Zivilbevölkerung noch Krankenhäuser befallen würden? Aber in gewisser Weise haben Sie auch Recht. Die Angriffe auf Unternehmen und Staaten haben eine neue Qualität erreicht. Und Stuxnet hat zwei Dinge bewiesen: Erstens werden nicht mehr nur klassische Computer zum Zwecke des Datendiebstahls angegriffen, sondern auch Anlagen und Maschinen um sie zu sabotieren. Und zweitens: Länder und deren Geheimdienste sind in diesem Metier sehr agile Akteure. Für manche Nationen mag ein verzögertes Atomprogramm eines anderen Staates von Interesse sein, für andere wiederum das Aufholen von Innovationsrückstand. Eines aber ist sicher: hinter jedem Angriff steht ein vitales Interesse.
Deutsche Mittelständler seien laut Gerald Hahn, CEO der Münchener Softshell AG, in einem Interview mit der Computerwoche, viel stärker von Angriffen gefährdet als amerikanische, weil sie es nicht merkten, wenn sie angegriffen werden. Welchen Rat würden Sie einem Mittelständler in puncto IT-Sicherheit geben.
Richtig ist, dass die Ignoranz der Opfer sehr zur Verwundbarkeit der Unternehmen beiträgt. Ich bezweifele jedoch stark, dass diese in Deutschland höher ist als in den USA. Der Rat an mittelständische Unternehmen: IT-Sicherheit immer auf dem Stand der Zeit halten, das erhöht den Aufwand für die Angreifer erheblich und benennen Sie Ihre Kronjuwelen. Beobachten Sie diese im Anschluss gezielt. Dann merken Sie sofort, wenn ungewollte Datenwege beschritten werden.
In Deutschland gibt es das Nationale Cyber-Abwehrzentrum, das 2011 gegründet wurde und unter Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) steht. Welche Aufgaben hat das NCAZ und wie können Wirtschaft und NCAZ zusammenarbeiten?
Das NCAZ ist EIN Element der „Cyber-Sicherheitsstrategie“ und hat die Aufgabe, IT-Sicherheitsvorfälle, insbesondere Cyber-Angriffe, schnell und umfassend zu analysieren, zu bewerten und zwischen den beteiligten Sicherheitsbehörden abgestimmte Handlungsempfehlungen zu erarbeiten. Die Wirtschaft begrüßt diese Entwicklung nicht nur ausdrücklich, sondern unterstützt diese im Rahmen der „Allianz für Cyber-Sicherheit“, die 2012 in einer Kooperation des BSI mit der BITKOM gegründet wurde und -ergänzend zum NCAZ- als direkter Ansprechpartner für die Wirtschaft fungiert.
Vielen Dank für das Gespräch.