© JUNGE FREIHEIT Verlag GmbH & Co. www.jungefreiheit.de 23/18 / 01. Juni 2018

Die unterschätzte Gefahr
Cybersicherheit: Unternehmen und Regierungen forcieren die Digitalisierung und vernachlässigen den Schutz
Michael Link

Berichte über einen großflächigen Hackerangriff auf das deutsche Regierungsnetz sorgten jüngst auch international für Aufsehen. Die US-Sicherheitsfirma Fire Eye, die in einem Naheverhältnis zu US-Geheimdiensten steht, warnte daraufhin vor der Infiltration von Ministerien in ganz Europa durch russische Hacker.

Der Hackerangriff auf höchster staatlicher Ebene war zugleich die Fortsetzung einer Serie mehrerer spektakulärer Cybercrime-Attacken. Nur wenige Monate davor war der Hackerangriff auf den Internetgiganten Yahoo bekanntgeworden. Bei der bislang größten Cyber-Attacke in der Geschichte waren mehr als eine Milliarde Kundenkonten gehackt worden.

In den vergangenen Monaten haben über das Internet geführte Attacken wie WannaCry und Petya auch zahlreiche größere Unternehmen betroffen. So haben die Ransomware WannaCrypt0r  respektive WannaCry weltweit Tausende von Systemen infiziert.

Gefahren für Finanzen und Energie 

Auch Krankenhäuser und die Deutsche Bahn waren von dem Trojaner betroffen. Zudem wurden im Vorjahr bis zu 900.000 Router der Deutschen Telekom lahmgelegt. Insgesamt geht die Sicherheitsbehörde Europol von mehr als 200.000 Opfern in mehr als fünfzig Ländern der Welt aus.

Angesichts derartiger Angriffe und der global rasch fortschreitenden Digitalisierung werfen Experten die Frage auf, ob oder wie sehr das Thema Computersicherheit in Wirtschaft und Politik bislang vernachlässigt wurde. „Es gibt die Tendenz, daß Unternehmen erst dann beginnen, sich um die Datensicherheit zu kümmern, wenn etwas passiert ist“, erklärt der belgische Sicherheitsberater Tom Van de Wiele gegenüber dem US-Magazin Forbes. „Wir stellen daher in einem ersten Klärungsgespräch zwei simple Fragen: Haben Sie Mitarbeiter? Antwort: Ja. Zahlen Sie – hoffentlich – Löhne? Ja. Dann sind Sie potentiell in Gefahr.“ Industrielle Prozeßunterbrechungen, Manipulationen oder Spionage seien dann die Folgen. 

Die ständige Weiterentwicklung von Rechner-, Speicher-, Netzwerk-, Cloud- und Sensortechnologien schafft nicht nur neue Möglichkeiten, sondern erhöht auch die Gefährdung der Unternehmens durch immer raffiniertere CyberAttacken. Hauptbranchen im Visier der Angreifer sind dem TÜV Rheinland zufolge das Gesundheitswesen, Finanzdienstleistungen und die Energieversorgung.

Der Service der Cyber-Security-Anbieter umfaßt den Schutz von Computersystemen vor Diebstahl und Beschädigung der Hardware, Software oder Informationen sowie vor Störungen oder Fehlleitungen der von ihnen bereitgestellten Dienste. Cyber Security bedeutet somit eine Sammlung von Richtlinien, Konzepten und Maßnahmen, um persönliche Daten zu schützen. Sie schließt die Kontrolle des physischen Zugriffs auf die Hardware sowie den Schutz vor Schäden, die durch Netzwerkzugriff, Daten und Codeinjektion entstehen können, ein. „Cyber Security verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozeßdefinitionen, Leitlinien oder Pflichtenhefte“, erklärt Alain De Pauw, Geschäftsführer der Division „Security“ bei Axians Deutschland. „Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle.“

Laut einem Bericht unter dem Titel „Internet of Threats“ („Internet der Bedrohungen“) des IBM Institute for Business Value gab jedoch mehr als ein Drittel der Führungskräfte an, daß die Sicherung einer Internet-of-Things (IoT)-Plattform und ihrer Geräte für ihr Unternehmen nicht unproblematisch ist. So räumten 36 Prozent der Führungskräfte ein, in der Sicherung einer IoT-Plattform und ihrer Geräte eine der größten Herausforderungen für ihr Unternehmen zu sehen. Lediglich zehn Prozent der IoT-Nutzer überwachen kontinuierlich den IoT-Verkehr, um Anomalien zu finden und Schwachstellen zu bewerten.

Erst ein kleiner Prozentsatz der Unternehmen hat betriebliche, technische und kognitive Verfahren oder IoT-spezifische Sicherheitstechnologien vollständig implementiert. Nur 21 Prozent der Unternehmen setzen auf Verschlüsselung, 23 Prozent auf Netzwerksicherheit und Geräteauthentifizierung sowie 17 Prozent auf Sicherheitsanalysen als Schlüsseltechnologien für die IoT-Sicherheit.

Der Bericht kommt zu dem Schluß, daß sich die meisten Industrie- und Versorgungsunternehmen erst in der Anfangsphase der Einführung von Praktiken und Schutztechnologien zur Eindämmung der IoT-Sicherheitsrisiken befinden. Demnach ist IT-Sicherheit eher ein nachträglicher Schritt für viele Internet-of-Things-Anwendungen der ersten Generation. IoT-Technologie wird demnach vorrangig verwendet, um die Produktivität zu erhöhen, Probleme zu lösen, neue Geschäftsmöglichkeiten und betriebliche Effizienz zu schaffen. Dabei erwarten Experten ein Wachstum des IoT-Marktes von installierten 15 Milliarden Geräten im Jahr 2015 auf 30 Milliarden im Jahr 2020 und 75 Milliarden im Jahr 2025. 

Vor diesem Hintergrund empfiehlt das IBM Institute for Business Value die Einrichtung eines formellen IoT-Sicherheitsprogramms und den Aufbau eines Operational-Excellence-Modells aus Mitarbeitern, Prozessen und Technologien, um IoT-Sicherheitsfunktionen zu entwickeln. Letztlich gehe es darum,  jeden IoT-Endpunkt zu identifizieren und zu profilieren, einem Inventar hinzuzufügen und zu überwachen. 

Alles „Smarte“ kann auch gehackt werden

Betroffene Unternehmen sollten zudem Angriffssimulationen durchspielen und regelmäßig verschiedene Situationen in ihrer Anlage üben sowie ihr Sicherheitsbetriebszentrum vorbereiten. Diese Übungen seien unverzichtbar, um eine effektive Reaktion auf Cyberangriffe vorzubereiten, so die wichtigsten IBM-Empfehlungen. 

Um die IT-bezogenen Unternehmensrisiken richtig abwägen zu können, darf man nicht die Künstliche Intelligenz (KI) aus den Augen verlieren. Die Gefahr, die von neuen Technologien wie Künstlicher Intelligenz ausgeht, ist laut dem Allianz Risk Barometer 2018 im weltweiten Ranking von Rang zehn auf Rang sieben gestiegen und rangiert auch in Deutschland auf Platz sieben. Die Anfälligkeit automatisierter oder sogar autonomer Maschinen für Ausfälle oder Cyber-Attacken könnte zunehmen und erhebliche Auswirkungen haben, wenn kritische Infrastrukturen wie IT-Netzwerke oder Stromversorgung betroffen sind. Hinzu kommt das Mißbrauchspotential von KI, also das Risiko, daß auch die Angreifer die Vorteile von Künstlicher Intelligenz für sich entdecken und ausnutzen.

KI aber erst dabei, sich geeignete Einsatzfelder zu erobern. So gibt es nicht nur Lösungen, die mittels KI die Erkennung und Abwehr von Cyber-Attacken verbessern können. Auch ihr Potential in der Prävention kann Künstliche Intelligenz entfalten.

„Künstliche Intelligenz ist die digitale Schlüsseltechnologie schlechthin. Deutschland gehört hier weltweit zu den stärksten Standorten und muß diese gute Position halten und ausbauen“ erklärt dann auch Achim Berg, Präsident der Bitkom. Die Mehrheit der Menschen in Deutschland sei davon überzeugt, daß Künstliche Intelligenz ein wichtiger Faktor für die Zukunftsfähigkeit unseres Landes sei. Politik und Wirtschaft müßen daher Szenarien entwickeln, wie Künstliche Intelligenz zum wirtschaftlichen Fortschritt beitragen und dem Allgemeinwohl dienen könne. Flankierend müßten Mechanismen erarbeitet werden, die einen möglichen Mißbrauch dieser Technologie im „besten Fall ganz ausschließen oder auf ein absolutes Minimum“ reduzieren. „Wir müssen und wir können die Künstliche Intelligenz beherrschen – tun wir das nicht, beherrscht sie uns.“

Dagegen verweist Sicherheitsberater Tom Van de Wiele auf „Hyppönens Gesetz“. So könne alles, was vernetzt ist und als „smart“ bezeichnet wird, gehackt werden. Es sei weniger eine Frage des Ob, sondern eine Frage der Zeit, bis etwas gehackt wird. Das Gesetz Hyppönens besagt auch, daß sich Cybercrime-­Angriffe technisch zusehends verbessern und ausgefeilter werden. „Die Hacker haben immer mehr Zeit, sich vorzubereiten als die Verteidiger“, so Wiele. Die Folge sei ein Anstieg der Attacken, nicht jedoch jener der erfolgreichen Abwehren. „Cybercrime-Angriffe können automatisiert und damit in der Abfolge sehr schnell gemacht werden“, ergänzt Wiele. Mit dem Boom von Kryptowährungen gehe auch jener von Ransomware einher.

Wiele zeichnet ein eher düsteres IT-Szenario. „Es wird Attacken geben, wo die Wärme- und Energieregulierung einer Firma oder eines Spitals gehackt wird. Weiter werden Fälle auftauchen, bei denen gehackte Autos nur deshalb zur Bank fahren, damit das Erpressungslösegeld bezahlt wird. Die Türen öffnen sich erst dann, wenn dieses beglichen wird.“

Der Experte kritisiert schließlich das mangelnde Verständnis vieler Unternehmen für Datensicherheit: „Unternehmen denken, Datensicherheit sei wie ein Gebäude, und bauen Mauern um ihre Daten, aber ohne zu wissen, ­welche Interaktionen benötigt werden. Unternehmen wissen nicht, welche Daten sie besitzen und welchen Wert diese haben.“ Dadurch fehle ihnen auch das Wissen, wie sie diese sichern sollen. 

Doch diese Daten und damit die Rechte daran werden in der Regel an US-amerikanische Unternehmen wie das soziale Netzwerk Facebook abgegeben. Es gebe einen Grund, warum Google und Facebook ihre Dienstleistungen gratis anböten: der monetisierte Content. „Das ist eines der enttäuschendsten Dinge für mich im Rahmen der IT-Revolution: Wir nutzen die klügsten Köpfe unserer Generation, welche die besten Technologien hervorbringen, die wir jemals hatten – um Werbung zu pushen“, beklagt Wiele und schließt sich der Analogie einiger anderer Sicherheitsxperte an, die Daten als das Verschmutzungsproblem des 21. Jahrhunderts sehen. „Die Art und Weise, wie wir Daten schützen, wird uns als Spezies im 21. Jahrhundert definieren“, ist Wiele überzeugt. „Darum brauchen wir Gesetze, um die Voraussetzungen dafür zu schaffen.“





IT-Experten: Kritik an Bundesregierung

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat die Große Koalition kritisiert und die Einhaltung des Koalitionsvertrages gefordert. Die Informationstechnik sei Motor und Basis der modernen, globalen Informations- und Wissensgesellschaft. Gleichzeitig aber sei offensichtlich, daß die derzeitigen IT-Architekturen bei Endgeräten, Servern und Netzkomponenten nicht sicher genug konzipiert seien, um den Fähigkeiten intelligenter Hacker standzuhalten, so TeleTrusT am 23. Mai.  Vor diesem Hintergrund sei nicht nachvollziehbar, daß im Haushalt 2018 des Bundesministeriums des Innern, für Bau und Heimat (BMI) keine neuen Stellen für den Ausbau des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur nationalen Cyber-Sicherheitsbehörde eingeplant wurden.Täglich könne den Medien entnommen werden, wie kriminelle Hacker unzureichende Softwarequalität für erfolgreiche Angriffe nutzen, Malware installieren, Paßwörter und Identitäten stehlen und Endgeräte ausspionieren. Es sei, so die IT-Spezialisten weiter, ein „politischer Widerspruch, einerseits auf fortschreitende Digitalisierung zu setzen und andererseits die notwendigen Cyber-Sicherheitsherausforderungen zu vernachlässigen“. Die Digitalisierung bis hin zum Ausbau Künstlicher Intelligenz müsse mit IT-Sicherheitsmaßnahmen als notwendiger Kehrseite begleitet werden, damit sie „nachhaltig gelingen“ könne. TeleTrusT fordert das BMI auf, die Zusagen aus dem Koalitionsvertrag einzuhalten, einen deutlich stärkeren Schwerpunkt auf die Stärkung der IT-Sicherheit und die Einrichtung eines nationalen Paktes für Cyber-Sicherheit sowie den Ausbau des BSI zur nationalen Cyber-Sicherheitsbehörde, einschließlich eines Zuwachses um mindestens 200 Stellen zu legen.