"Einige Sicherheitsrisiken werden noch viel zu wenig diskutiert"
Als Softwareentwickler und Sicherheitsspezialist wirft Volker Birk ein kritisches Auge auf die IT-Sicherheit.
Herr Birk, in der NZZ kritisieren Sie den "Swiss Vulnerability Report" scharf. Sind Sicherheitsberichte generell Makulatur?
Nein, aber mit Vorsicht zu geniessen. IT-Security ist kein einfaches Feld. Wie bei allen Studien sollte zur Bewertung immer im Vordergrund stehen, ob die Studie von wirtschaftlich unabhängigen Wissenschaftlern oder aber von Leuten mit eigenen wirtschaftlichen Interessen am Ergebnis zustande gekommen ist. Ist die Methodik in Ordnung? Ist die Interpretation der Ergebnisse nachvollziehbar? Welche anderen Interpretationen wären möglich? Man sollte Studien gleich jeder Art immer kritisch betrachten. Dabei kann herauskommen, dass eine solche Studie überzeugend ist. Es kann aber auch das Gegenteil der Fall sein.
Was müsste denn untersucht werden, um überhaupt Aussagen treffen zu können?
Die Frage ist gut – und schwierig zu beantworten. Es sind eine Reihe von Sicherheitsrisiken im Internet bekannt. Es gibt aber auch welche, die zu wenig im Fokus der Diskussion stehen. Zum Beispiel glauben die meisten immer noch, mit dem Kauf einer Firewall und eines Virenscanners sei das Thema erfolgreich zu behandeln. Dabei schützen Virenscanner gar nicht vor gefährlichen Viren. Letztere sind nämlich die neuen, noch nicht bekannt gewordenen, die kompetent Angriffe implementieren. Virenscanner sind nützlich, weil sie die älteren, bereits bekannt gewordenen Viren entfernen, sodass man sich nur noch um die ernstzunehmenden Angriffe kümmern muss. Ein anderes Beispiel: Die meisten Firewalls kann man durch geschickt implementierte Kommunikation austricksen. Schon seit Jahren warnt der CCC davor, der Firewall-Idee zu sehr zu vertrauen. Kommunikation von aussen nach innen lässt sich oft herstellen, indem man die Funktionen der Firewalls als Angreifer nutzt, dass sie beispielsweise aktives FTP ermöglichen, also über Protokoll-Helper. Auch das erstmals durch Skype bekannt gewordene NAT-Hole-Punching geht in die Richtung sowie, ein anderes Beispiel, die von Dan Kaminsky implementierten Möglichkeiten, den Browser als Gateway ins innere Netz zu nutzen. Letzteres ist ein Beispiel für das weite Feld der Drive-by-Angriffe. Besonders wichtig ist es, wie ein Angreifer zu denken. Denn nur so kann man die Angriffsvektoren entdecken und schliessen. Meistens bekommt man aber nicht alle Angriffsvektoren eliminiert. Zudem bleibt das Zeroday-Problem, dass also Angriffsvektoren noch nicht bekannt sind, aber bereits genutzt werden. Der Fall muss mit bedacht werden, wie man einen erfolgreichen Angreifer erkennen kann und mit dem Problem umgeht.
Einige der raffinierten Angriffe erfolgen ja direkt auf bestimmte Zielpersonen.
Jeder "leakt" im Netz eine Menge Information an Angreifer, einfach dadurch, dass er das Netz benutzt. Da kann es schon von höchstem Interesse sein, für welche Informationen sich der strategische Einkauf eines Unternehmens gerade interessiert oder welche Anfragen ein Verkäufer mit welchem Ergebnis bearbeitet, die ihn auf elektronischem Wege erreichen. Hier wäre übrigens auch der Staat gefragt, nicht nur bei anderen zu spionieren, sondern vor allem das eigene Netz für Bürger und Unternehmen erst einmal sicherer zu machen, indem der Staat vor allem Spionage verfolgt und abstellt und nicht alle Energie nur darauf verwendet, sie selbst durchzuführen. Obwohl das Interesse der Strafverfolger nachvollziehbar ist, dass nicht alle Informationen gut verschlüsselt werden, ist es für Unternehmen und auch Privatpersonen unabdingbar, sich Gedanken über gute Verschlüsselungstechniken und ihren praktikablen Einsatz zu machen, sei es, um die Vertraulichkeit und Integrität der Inhalte von Kommunikation zu schützen wie mit OpenPGP oder verschlüsselten VPNs, sei es um mittels technischem Datenschutz wie beispielsweise dem Tor-Projekt eine Totalüberwachung der Kommunikationsverbindungen durch Geheimdienste mit fragwürdigen Zielen zu erschweren.
Wie gefährdet sind eigentlich Smartphone- und Tablet-Benutzer?
Sehr, so wie alle Netzteilnehmer. Aktuell wurde gerade bekannt, wie man Apps als Man-in-the- Middle angreifen kann.
Wie können sich Smartphone- und Tablet-Benutzer schützen?
Die Antwort wird nicht gefallen: Indem sie nur die Apps installieren, zu deren Hersteller sie auch in Sicherheitsfragen Vertrauen haben, und auf alle anderen verzichten. Im Zeitalter, in dem die NSA Apple, Google und Microsoft massiv unter Druck setzt. Gegen Wirtschaftsspionage aus den USA gibt es vermutlich gar keinen Schutz, ausser durch den Verzicht auf solche Geräte. Denn über Smartphones und Tablets hat man in Wirklichkeit gar nicht die Oberhoheit. Das sind vom Hersteller gemanagte Geräte, und was darauf läuft, kontrollieren Apple und Google – und im Zweifelsfalle die NSA. Das wird wohl erst mit Firefox OS und wirklich freier Software auch auf den mobilen Geräten ein wenig besser werden. Geschlossene App-Märkte sind so aber nicht mehr möglich – was vermutlich auch zur Verhinderung von Monopolen nützlich sein wird.
Ihre persönliche Meinung: Ist das Internet tatsächlich so gefährlich oder wird hier auch Panikmache betrieben?
Das Internet ist wie das Leben: interessant, vielfältig, mancherorts gefährlich, aber das Risiko wert.
Mitte-Generalsekretärin wird Direktorin des Bakom
KI-Stellen verlangen wegen intensiven Wettbewerbs ein exzellentes Profil
Das sagen Befürworter und Gegner zur E-ID
Cyberkriminelle fälschen "Miles & More"-Kreditkarten-Login
Bessere Bilder für Mensch und Maschine
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
2025 erreichen globale Ausgaben für KI fast 1,5 Billionen US-Dollar
Brack Alltron sucht "Director Engineering & Technology"
Viele Chefs entlassen Mitarbeitende wegen KI – nur wenige Angestellte wissen das
