Wachsamer werden, aber nicht in Panik geraten
Trotz raffinierter Angriffstechniken und mächtiger Cyberangreifer halten IT-Sicherheitsexperten die dauernde Rede von Cyberkrieg für übertrieben.
Im Web tobe ein Cyberkrieg, es gehe zu und her wie im Wilden Westen – lassen IT-Sicherheitsexperten regelmässig verlauten. Sie untermauern die Entwicklung mit Statistiken, die zeigen, dass die Zahl der Angriffe im Web seit Jahren kontinuierlich steigt. Zudem sollen die Angreifer immer raffinierter agieren.
Etwas differenzierter sieht es Lukas Ruf, CEO des IT-Sicherheitsberaters Consecom. "Es ist gefährlich, dauernd von Cyberkrieg zu sprechen." Ein Land ausschliesslich mit Cyberwaffen für längere Zeit lahmzulegen, ist seiner Überzeugung nach derzeit kaum möglich. Die Länder seien in der Lage, die Netze relativ gut abzuschotten.
Drei Hauptmotive von Angreifern
"Cyberwaffen könnten jedoch in einem konventionellen Krieg als zusätzliche Waffe eingesetzt werden", sagt Ruf. Cyberkriminelle, Unternehmen und Staaten verwenden grundsätzlich ähnliche Angriffstechniken.
Er nennt drei Hauptmotive für Angriffe im Netz: Entweder will jemand Geld stehlen, sich Macht und Einfluss sichern oder öffentliche Aufmerksamkeit erregen. Das Ausmass und die Effektivität der Attacken hingen von den Ressourcen ab. Er erwartet angesichts der immer höheren Sicherheitshürden für Cyberkriminelle jedoch, dass die Kriminalität verstärkt die Offlinewelt miteinbeziehen werde.
DDoS als Ablenkungsmanöver
Insbesondere die altbekannten Distributed-Denial-of-Service-Attacken (DDoS) werden zu einem immer grösseren Problem – mit schlimmeren Auswirkungen als Spam und Viren. Dieser Meinung ist Hans Cathcart, Sicherheitsexperte beim Content-Delivery-Network Akamai.
Das Unternehmen betreibt rund 100 000 Server, liefert rund 30 Prozent des weltweiten Webtraffics aus und filtert für Kunden, die Sicherheitsprodukte gebucht haben, den "guten" vom "bösen" Traffic heraus. "Es ist bekannt, dass Angreifer mit DDoS-Attacken Business und Infrastrukturen lahmlegen können", sagt Cathcart.
Das betreffe vor allem kleinere und mittelständische Betriebe. Bei Grossunternehmen, die gegen Cyberangriffe vergleichsweise gut gerüstet seien, hätten DDoS-Attacken noch eine weitere Funktion: Dort sind sie Teil von raffinierten Attacken, bei der mehrere Angriffstechniken zum Einsatz kommen. "DDoS-Attacken ziehen viele Sicherheitsressourcen ab, die dann andernorts fehlen", so Cathcart.
Überwachen und verbieten
Derweil schlagen Kriminelle Profit aus der derzeitigen Unsicherheit. Sie können zeit- und ortsunabhängig agieren. Ihnen kommen zudem aktuelle IT-Trends zugute: Immer mehr Daten gehen in die Wolke und sind damit potenziell von überall in der Welt aus angreifbar. Die populären mobilen Geräte bieten sich hervorragend als neue Angriffsfläche an. Genauso wie Social Media, in denen sich Nutzer bisweilen naiv verhalten.
Dagegen verabschieden einige Unternehmen Richtlinien für ihre Mitarbeiter und setzen der Nutzung mobiler Geräte und Social Media Grenzen – oder verbieten sie sogar. Auch die Staaten reagieren: So trat in der Schweiz Anfang dieses Jahres die Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) in Kraft, dies vorerst noch ohne das dazugehörige Gesetz BÜPF als Grundlage.
Im Westen bald wie in China?
Netzaktivisten fürchten sich angesichts solcher Massnahmen vor einem Überwachungsstaat. Man zeige mit dem Finger zwar immer wieder auf China, sagte Pascal Gloor, Vizepräsident der Schweizer Piratenpartei, an einer Podiumsdiskussion der Organisation "Reporter ohne Grenzen" zum Tag der Pressefreiheit.
Doch auch in der westlichen Welt laufe es darauf hinaus, dass man mit etwas anderen Begründungen etwas ganz Ähnliches einführe. "Es ist heute sehr einfach, Bürger zu überwachen", so Gloor.
Zudem spiele es fast keine Rolle mehr, ob ein Staat einen Bürger oder die ganze Bevölkerung überwacht. Einmal eingeführt, lasse sich eine Überwachungssoftware mit den heutigen IT-Kapazitäten problemlos skalieren.
PPP als mögliches Modell
Ist der Cyberkrieg auch für die Schweiz eine reale Bedrohung? Diese Frage wurde an einem Fachevent von ICT-Produktmarketing-Berater Ralf Haller von Extendance und IT-Sicherheitsberater Lukas Ruf mit zahlreichen prominenten Referenten thematisiert.
Mark Saxer, der als Geschäftsführer des Vereins Swiss Police ICT an der Veranstaltung referierte, vermied auch hier den Begriff Cyberkrieg und hob hervor, dass man bei der Erarbeitung der Schweizer Cyber-Defense-Strategie bewusst nicht vom Cyberkrieg spreche, sondern von Defense.
Er plädierte zudem für ein Public Private Partnership (PPP) bei Sicherheitsfragen. Er verwies dabei auf ein Projekt in Deutschland, wo die nordrhein-westfälische Polizei und der Branchenverband Bitkom Ende des vergangenen Jahres eine Kooperationsvereinbarung unterzeichneten. Dieses Modell könne ein Vorbild für die Schweiz sein, so Saxer.
Keine Meldepflicht für Cyberattacken
Für verstärkte Zusammenarbeit von Behörden untereinander sowie zwischen Unternehmen und Behörden in der IT-Forensik machte sich derweil Adrian Leuenberger, Security Engineer bei Switch, Anfang Mai in seiner Keynote am Security Podium stark. Für die Spurensicherung brauche es klare Prozesse, die Zuständigkeiten müssten geregelt und die Daten sichergestellt werden, so Leuenberger.
Das Problem sei aber häufig, dass bei Vorfällen zu Beginn oft Verwirrung herrsche und Unternehmen bestrebt seien, möglichst schnell wieder operativ zu werden. Untersuchungen seien dagegen mühsam und zeitraubend. Dazu komme ein erhebliches Reputationsrisiko für die betroffenen Unternehmen. Sie erstatteten deshalb oft keine Anzeige, sagt Leuenberger. "Es besteht keine Meldepflicht für Cyberattacken."
Knacknuss internationale Rechtshilfe
Leuenberger plädierte dafür, dass die Unternehmen in Untersuchungswerkzeuge und noch wichtiger in das Know-how der Mitarbeiter investieren sollten – und Vorfälle vermehrt bei der Polizei anzeigen. Nur wenn auch genügend statistisches Material vorhanden sei, spreche die Politik mehr Geld für die Strafverfolgung im Internet, so Leuenberger.
Marcel Mauchle, Verantwortlicher für digitale Forensik bei der Kantonspolizei St. Gallen, forderte am anschliessenden Podium, dass man zusätzlich das "Gärtchendenken" auflösen und ein "offenes Kommunizieren unter Spezialisten" fördern müsse.
Während bereits die Zusammenarbeit unter den Behörden in der Schweiz heikel sei, so der Tenor am Podium, werde es bei der internationalen Strafverfolgung noch einmal viel schwieriger. Dort könne es bis zu einem dreiviertel Jahr dauern, bis Rechtshilfe geleistet werde, wenn überhaupt.
Mit Mitarbeitern auf Augenhöhe
Ein Umdenken beim "Risiko" Mensch fordert derweil Doris Altenkamp, Sicherheitsexpertin von British Telecom (BT), im Interview mit der Netzwoche. Es sei eine einseitige Sicht, den Mitarbeiter als Risiko zu sehen. Er ist auch ein Potenzial, das es zu nutzen gelte, um Gefahren abzuwehren.
Die Beziehung, die viele Unternehmen zu ihren Mitarbeitern pflegen, sei ein Lehrer-Schüler-Verhältnis. Besser wäre es laut Altenkamp, mit den Mitarbeitern auf Augenhöhe über Risiken zu sprechen und zum Beispiel Inputs abzuholen. Wer Verantwortung für etwas tragen dürfe, habe einen Anreiz, verantwortlich zu handeln, so Altenkamp.
„Wir haben es mit komplexen Angriffsmethoden zu tun, wo vor allem der Mensch ein Hauptangriffsziel darstellt. Um uns dieser Komplexität zu stellen, müssen wir auch den Menschen in seiner Wahrnehmung von potentiellen Attacken stärken“, ergänzt Altenkamp.
Kompetenzen aufbauen
Sie beschreibt einen Kreislauf der Kompetenz im Umgang mit Gefahren: Zu Anfang sind wir „unbewusst inkompetent“, das heisst das Erlernte greift nicht mehr, da sich die Gefahrenumgebung verändert hat. In nächsten Schritt werden wir uns unserer „Inkompetenz bewusst“ und erlangen „bewusste Kompetenz“ indem wir Methoden entwickeln den Gefahren zu begegnen.
Das führt schliesslich dazu, dass wir „unbewusst kompetent“ sind und intuitiv das Richtige tun. Auch wenn dies der Idealzustand ist, den wir in einer Sicherheitskultur anstreben, sollten wir uns dessen bewusst sein, dass aufgrund sich verändernder Gefahrensituationen, der Zustand der „unbewussten Inkompetenz“ jederzeit eintreten kann.
Darum gelte es wachsam zu sein und sowohl Technik, Prozesse und die geschärfte Wahrnehmung von Mitarbeitern einzusetzen, neuen Gefahren zu begegnen.
Vertrauen als Voraussetzung
Eine Voraussetzung für eine prosperierende Gesellschaft und Wirtschaft sei es, dass man vertrauenswürdige Umgebungen schaffe. Das schreibt der renommierte IT-Sicherheitsexperte Bruce Schneier in seinem neusten Werk Liars and Outliers.
Vier Komponenten beeinflussen dabei, ob sich ein Mensch nicht schädlich gegenüber einer Gruppe oder der Gesellschaft verhält: Der moralische Druck ("Du sollst nicht …"), das Streben nach einer guten Reputation, die gesellschaftlichen Strukturen wie Gesetze und Regeln sowie Sicherheitsinstrumente wie zum Beispiel ein Türschloss, das den Einbruch in ein Gebäude erschwert.
Während man angesichts der Gefahrenlage gemeinhin dazu tendiere, neue Gesetze zu verabschieden und sicherheitstechnisch aufzurüsten, mahnt Schneier, auch die anderen beiden Ebenen – die Moral und die Reputation – einzubeziehen. "In unserer grossen anonymen Gesellschaft ist es einfach, diese beiden Faktoren als Druckmittel ausser Acht zu lassen. Sie sind in den meisten Fällen aber immer noch jene Voraussetzungen, die Kooperationen überhaupt erst ermöglichen."
Langfristige Strategien gefragt
Bei Sicherheitsfragen rät deshalb auch Lukas Ruf, möglichst langfristig zu denken. "Nachhaltige Sicherheitsstrukturen zu schaffen, das muss heute das Ziel sein. Das ist aber angesichts des Kostendrucks nicht immer einfach."
Er verweist dabei darauf, dass es auch bei den ganz grossen Sicherheitsvorfällen des vergangenen Jahres nicht besonders raffinierte Attacken gewesen seien, sondern schlicht die Verletzung von Sorgfaltspflichten oder triviale Fehler bei der Programmierung, bei der Best Practices nicht eingehalten wurden.