Home
  384
4
Editorial

TM 2.0
Technische Mitteilungen
Technical Reports

Zeitschrift für technisch-
wissenschaftliche Informationen
seit 1907

Herausgegeben vom
Haus der Technik e.V.

Deutschlands ältestes technisches
Weiterbildungsinstitut und
Außeninstitut der Rheinisch-
Westfälischen Technischen
Hochschule Aachen (RWTH).

Redaktionsanschrift

Redaktion TM 2.0
c/o Haus der Technik e.V.
Hollestr. 1
45127 Essen
Deutschland

Tel. +49 (0) 201 18 03-224
Fax +49 (0) 201 18 03-369
redaktion@tm20.de
www.tm20.de
Asset
© COLD PERFECTION www.coldperfection.com
 
Editorial
Besser auf Kassandra hören? IT-Sicherheit als zentrale Herausforderung unserer Zeit

Von Michael Graef

Fast ein Jahrzehnt dauert die vergebliche Belagerung Trojas bereits, als Odysseus endlich den entscheidenden Einfall hat. Der Begriff „Trojaner“ erinnert noch heute jeden, der sich nur ein wenig um die Sicherheit seines Computers sorgt, an die mythische Erzählung, die mit der Entführung einer Tochter des Zeus beginnt, jener sagenhaft schönen Helena.

Was vor mehr als dreitausend Jahren im Nordwesten der heutigen Türkei wirklich geschah, wird wohl ewig rätselhaft bleiben. Ebenso wie die Frage, warum die Bundesregierung für hoch ambitionierte und aus Sicht von Datenschützern und IT-Experten äußerst problematische Vorhaben immer wieder Namen bzw. Akronyme wählt, die voll von fragwürdigen Assoziationen sind – eben wie das ELENA getaufte elektronische Entgeltnachweisverfahren. Oder von unfreiwilliger Komik geprägt sind, wie die elektronische Steuererklärung ELSTER.

Sicher ist, dass der Bundesregierung – anders als den antiken griechischen Kriegern – bei ELENA zehn Jahre nach Projektbeginn kein Erfolg beschieden sein wird. Es ist kürzlich abgeblasen worden, begründet mit der fehlenden Verbreitung elektronischer Signaturen, nachdem deutsche Unternehmen zu nutzlosen Investitionen in Millionenhöhe genötigt wurden.

Sturheit und Ignoranz

Gemessen an der Art und den Begleitumständen, mit denen derlei Projekte in Deutschland nahezu auf Gedeih und Verderb vorangetrieben werden, sind Sturheit und Ignoranz eher noch verharmlosende Attribute. Denn anders als bei der IT-Compliance in Unternehmen, wo bei Nichteinhaltung der geltenden Bestimmungen empfindliche Strafen drohen, setzt sich der Staat nach Belieben über alle Regeln und zugleich über jegliche Vernunft hinweg. Beispiel ELSTER: Hier war es zu Beginn kinderleicht, Unternehmen, die dem Finanzamt eine Einzugsermächtigung erteilt hatten, bei Kenntnis der Steuernummer zumindest kurzfristig massiv zu schädigen, weil auf wirksame Sicherheitsverfahren gleich vollständig verzichtet wurde. Ein ähnlich laxer Umgang mit der Sicherheit war im Fall der Einführung des neuen Personalausweises zu beobachten: Um ‚Appetit‘ zu machen auf die Internet-Funktionen wurden kurzerhand Steuermillionen verschwendet, um ein nachweislich problematisches Billig-Lesegerät unter das Volk zu bringen. Das Risiko eines gefährlichen Identitätsdiebstahls wurde achselzuckend auf die Bürger abgewälzt. Und auch beim Prestigeprojekt DE-Mail, die als angeblich sichere Methode der elektronischen Kommunikation verkauft wird, ist eine lückenlose Verschlüsselung nur gegen Aufpreis erhältlich, während die Standardversion zwei massive Angriffspunkte beinhaltet.

Risiken sind längst nicht mehr zu verharmlosen

Dabei ist es nicht der Staat allein, dem man Leichtfertigkeit vorwerfen muss. Bei Unternehmen und Privatpersonen sieht es nicht besser aus, obwohl die Risiken längst nicht mehr zu verharmlosen sind. So gibt es noch immer genügend Besitzer von PCs, die ohne ausreichenden Schutz im Internet ‚unterwegs‘ sind. Sie sind besonders beliebte Opfer von Kriminellen, die deren Rechner unbemerkt zu riesigen „Botnetzen“ zusammenschließen, um darüber unter anderem Server-Attacken zu fahren, Spam-Mailings abzuwickeln und Schadsoftware zu verteilen. Die Folgen für die Wirtschaft sind beträchtlich. Schätzungen besagen, dass allein durch Attacken mittels Schadsoftware weltweit pro Jahr Schäden in Höhe von 10 Milliarden US-Dollar entstehen. Ein hoher Preis für das unvorsichtige Anklicken von Mailanhängen.

Genauso leicht können in Unternehmen raffinierteste Sicherheitsmaßnahmen, die sich gegen die Gefahren aus dem Internet richten, durch einen einzigen mitgebrachten USB-Stick zunichte gemacht werden. Gefahren drohen ebenfalls von einfachen, unverschlüsselt sendenden Funktastaturen, bei denen die eingegebenen Texte inklusive Passwörter bequem mitgelesen werden können. Und sogar die nicht abgeschirmten Kabel von Standardtastaturen sind zumindest theoretisch ein Sicherheitsrisiko, da sie wie Antennen wirken. Ganz zu schweigen von den immer beliebteren und oft nur ungenügend abgesicherten WLAN-Hotspots.

Gigantischer Basar für Illegales aller Art

Ob entwendete Firmengeheimnisse oder Tausenderpakete gestohlener Datensätze von Kreditkarteninhabern für die ‚kostenlose‘ Online-Shoppingtour – das Internet ist zu einem gigantischen Basar für Illegales aller Art geworden, dessen Umsatz den weltweiten Drogenhandel hinter sich gelassen hat. Zu den Spielarten der Cyber-Kriminalität gehört sogar Schutzgelderpressung. Unternehmen erkaufen sich zum Beispiel die Verschonung vor Denial-of-Service-Attacken, die die Website oder den Online-Shop über einen beliebigen Zeitraum unerreichbar machen können. Mit den entsprechenden Konsequenzen für den Umsatz. Das wahre Ausmaß dieser Delikte lässt sich schwer beziffern. Wer gibt schon freiwillig zu, erpresst worden zu sein?

Anmutung eines Feldversuchs

Vor nicht allzu langer Zeit erntete man noch verständnislose Blicke, wenn man auf die freundliche Einladung zum Online-Banking mit dem Hinweis auf Sicherheitsbedenken ablehnend reagierte. Vor dem Hintergrund der rasant steigenden Zahl der Schadensfälle und der immer schnelleren Kompromittierung von zunächst als sicher gepriesenen Schutzmechanismen mutet das Online-Banking immer mehr wie ein riesiger Feldversuch an. Die Zahl der Deutschen, die aus Angst vor Betrug darauf verzichten, liegt einer repräsentativen Umfrage zufolge gegenwärtig bei 25 Prozent. Womit sich der Wert seit 2009 mehr als verfünffacht hat.

Eine deutliche Sprache spricht BKA-Chef Ziercke, der sich unlängst negativ zur Sicherheit beim Online-Banking geäußert hat und Verbesserungen von den Banken verlangt. Keinen Trost spendet da die Tatsache, dass es angesichts der Zunahme von Manipulationen an Geldautomaten und Lesegeräten in der realen Welt kaum sicherer zugeht.

Bewusste Täuschung der Öffentlichkeit

Nicht viel weniger hilflos als der einfache Konsument müssen sich Deutschlands „Internet-Sheriffs“ im neu geschaffenen Nationalen Cyber-Abwehrzentrum (NCA) in Bonn fühlen. Mit nur zehn Mitarbeitern soll es die Herkules-Aufgabe lösen, Deutschlands Sicherheit im Internet zu verteidigen. Kritiker bemängeln zu Recht, dass das Vorhaben unter diesen Umständen erstens völlig unrealistisch ist und in seiner Halbherzigkeit zweitens an eine bewusste Täuschung der Öffentlichkeit grenzt. Vielleicht muss man sich aber vorläufig damit begnügen, dass die Politik mit mehr als zehnjähriger Verspätung nun überhaupt Notiz nimmt von einer der größten Gefahren unserer Zeit. Bleibt zu hoffen, dass die Blamage, dass kurz nach Eröffnung drei der dem NCA angeschlossenen Behörden (Bundeskriminalamt, Bundespolizei und Zoll) einem Hackerangriff zum Opfer fielen, mit dazu beiträgt, dass bald nachgebessert wird.

So oder so wird man in Zukunft noch weitaus häufiger von Erfolgen der Hackerszene hören. Mittels Automatisierung kann ein einzelner Hacker heutzutage bis zu 25.000 Angriffe ausführen. Pro Stunde! Jede einzelne Webapplikation wird stündlich im Durchschnitt 27 Mal angegriffen, wie Sicherheitsforscher berichten. Die lange Liste prominenter Opfer von Hackerangriffen allein des letzten halben Jahres beweist, dass weder Unternehmen noch Behörden sich dem Ansturm vollends erwehren können.

Gefahr aus den Wolken

Kein Wunder, dass die Skepsis gegenüber Cloud-Computing wächst, einem der wichtigsten IT-Trends der vergangenen Jahre. Die „Wolke“ verspricht verlockende Vorteile: jederzeit verfügbare Daten an praktisch jedem Ort der Welt – ideal für die ortsunabhängige Kollaboration der ‚digitalen Nomaden‘ von heute. Verbunden mit Einsparpotenzialen bei Hard- und Softwarekosten und der Aussicht, die teure und dann teilweise überflüssige eigene IT-Mannschaft auf ein Minimum reduzieren zu können.

Doch die Idee hat einen entscheidenden Schönheitsfehler: Wenn Daten überall verfügbar sind, wo man sie braucht, dann stellt sich die Frage, wo sich diese am Ende tatsächlich befinden. Was nützt die beste Verschlüsselung für den Transport der Daten über das Internet, wenn unklar ist, wer im Rechenzentrum ein- und ausgehen darf? Es sind längst nicht nur Russland und China, die den Entwicklungsabteilungen der eigenen Unternehmen durch das Ausspionieren der ausländischen Konkurrenz auf die Sprünge helfen. Cloud-Computing könnte glatt den Wunschvorstellungen eines Geheimdienstes entsprungen sein: Wozu Daten aufwändig in den Netzen von Firmen, Forschungseinrichtungen und Behörden ausspähen, wenn diese sie selbst frei Haus liefern können?

Die Sache hat noch einen anderen Haken: Was passiert bei einem niemals auszuschließenden Totalverlust der Daten? Unternehmen, die hierfür keinen Plan B besitzen, droht schlimmstenfalls das sofortige Aus. Mit jedem zusätzlichen Sicherheitsbackup steigt andererseits die Gefahr, dass die Daten sich irgendwann ‚selbständig‘ machen.

Gefährdete Infrastruktur

Noch viel beunruhigender als die Sorge um umgeleitete Überweisungen und gehackte Mail-Accounts ist die Bedrohungslage für die öffentliche und militärische Infrastruktur. Es steht außer Frage, dass gezielte Hackerangriffe Städte oder ganze Länder zeitweise lahm legen könnten. Von der Energie- und Wasserversorgung über Verkehr, bis hin zu Finanzmärkten gibt es fast nichts mehr, was nicht in irgendeiner Form gehackt und via Internet außer Gefecht gesetzt werden kann.

Der Computerwurm Stuxnet, der im Juni 2010 für Schlagzeilen sorgte, weil es mit ihm angeblich gelang, das iranische Atomprogramm empfindlich zu stören, lässt erahnen, wie weit sich militärische Auseinandersetzungen stellvertretend ins Internet verlagert haben. Umgekehrt drohen die USA potenziellen Angreifern aus dem Netz mittlerweile unverhohlen mit einer Beantwortung durch konventionelle Militärschläge. Dazu muss man allerdings zunächst einmal in der Lage sein, den Ursprungsort eines Angriffs zweifelsfrei nachweisen zu können und zu wissen, ob es organisierte Angreifer – zum Beispiel aus den viel zitierten chinesischen „Hacker-Universitäten“ – waren oder pubertierende Amateure, die ebenso gut aus der eigenen Nachbarschaft kommen können. „War Games“, der legendäre Film aus dem Jahre 1983 über einen Beinahe-Atomkrieg, ausgelöst durch einen Jugendlichen, lässt grüßen.

Fazit

Das Bestreben um mehr IT-Sicherheit gleicht dem Wettlauf zwischen dem Errichten immer höherer Mauern und dem Bau entsprechend langer Leitern. Man muss wohl davon ausgehen, dass es eine absolute IT-Sicherheit niemals geben wird, ja vielleicht niemals geben kann. Ein sorgloser Umgang mit dem Thema ist – so viel steht fest – nicht mehr möglich. Unternehmen, die sich hier eine Blöße geben, lassen sich auf ein Vabanquespiel ein.

Auch für Privatpersonen ist es ratsam, in Zukunft sehr viel vorsichtiger zu sein mit den eigenen Daten. Ist es wirklich sinnvoll, wegen geringfügiger Ersparnisse jedesmal in einem anderen Online-Shop einzukaufen und damit immer weitere Duplikate der eigenen Daten auf unterschiedlichen Webservern zu verteilen, die allesamt gehackt werden können?

Gut überlegen sollte man sich ebenfalls, welche Informationen man mit so genannten „Freunden“ bei Facebook teilt. Das Anzapfen von vertrauensseligen Nutzern in sozialen Netzwerken – eine Variante des so genannten Social Engineerings – ist weltweit auf dem Vormarsch. Es zeigt sich, dass die klare Grenzziehung zwischen Privatpersonen und Unternehmensmitarbeitern immer mehr verschwimmt.

Nicht minder riskant ist das Anklicken von Linkempfehlungen von Personen aus der Community. Nachdem die meisten Menschen verstanden haben, wie gefährlich Mailanhänge sein können, finden Kriminelle nun neue Abnehmer für ihre Schadsoftware bei Twitter und anderen Web 2.0 Diensten.

Eine bedenkliche Tendenz ist auch das immer stärkere Aggregieren von Daten, die sich aus dem Surfverhalten ergeben. Was mit Cookies noch relativ harmlos begann, weil diese per se keinen unmittelbaren Rückschluss auf die Identität eines Internetnutzers erlaubten, wird durch die sozialen Netzwerke theoretisch zur totalen Überwachung. Im Prinzip kann alles, was man sich im Internet ansieht, während man bei Facebook & Co. eingeloggt ist, einem persönlichen Profil zugeordnet werden, das irgendwo in einer fremden Datenbank schlummert.

Es spricht sich allmählich herum, dass der Preis für all die kostenlosen Annehmlichkeiten im Internet die eigenen Daten sind. Man tut also gut daran, sich konträr zu der bekannten Redewendung von dem „geschenkten Gaul“ zu verhalten, dem man nicht ins Maul schauen soll und sich genau zu überlegen, wie viel Anonymität man aufzugeben bereit ist. Oft gehörte, trotzige Sätze wie „ich habe nichts zu verbergen“ sind ausgesprochen naiv und kurzsichtig.

Dabei zeigt die Erfahrung, dass es lohnenswert sein kann, auf mahnende Stimmen zu hören. Die Bewohner Trojas jedenfalls hätten die Warnung der Kassandra nicht in den Wind schlagen sollen. Sie wusste, wie teuer ihre Landsleute die Annahme des hölzernen griechischen Pferdes bezahlen sollten.

 

Ihre Meinung? redaktion@tm20.de
 

08.08.2011

© TM 2.0 Technische Mitteilungen – Technical Reports
 

 
 
Seite empfehlen
Seite Drucken
www.gilbert-und-gilbert.de
Anzeige
Schaltfläche
Das könnte Sie auch interessieren:
Too big to fail: Warum Abgesänge auf die USA verfrüht sind
Nach der Krise ist vor der Krise – über die verdrängten Fragen der zukünftigen Energie- und Rohstoffversorgung
Es bleibt dabei: alles wird anders. Über die Herausforderung der Zukunftsvorhersage
Keine Angst vor dem Drachen! Über den Mut zu mehr Rationalität im Umgang mit Zukunftsfragen
„I am still alive“ – Banalitätsfallen, Falschmeldungen und die Kunst des Weglassens in den Social Media
Verlagsangebot:
Aktuelle HDT-Termine
© 2011 Haus der Technik e.V.