Die digitale Welt ist millionenfach verletzlicher als die Analoge

Digitalisierung macht angreifbar in großem Stil: Ein Schwachpunkt in einem Standard-IT-System kann zu Tausenden erfolgreicher Angriffe Cyberkrimineller führen. Kleine Unternehmen sind genauso gefährdet wie große. Professor Dr. Jörn Müller-Quade ist Professor für IT-Sicherheit und Leiter des Instituts für Kryptografie und Sicherheit am Karlsruher Institut für Technologie. Er weiß, wie Angreifer vorgehen und Unternehmen sich schützen.

Zur Person

Professor Dr. rer. nat. Jörn Müller-Quade

Professor Dr. rer. nat. Jörn Müller-Quade studierte 1987 bis 1993 Informatik in Erlangen und Karlsruhe. Er promovierte im Bereich der Computeralgebra bei Professor Dr.-Ing. Dr. rer. nat. Thomas Beth am Institut für Algorithmen und Kognitive Systeme (IAKS) an der Universität Karlsruhe (TH). Anfang 2008 übernahm Jörn Müller-Quade die Lehrstuhlvertretung „IT-Sicherheit“ am Institut für Algorithmen und Kognitive Systeme der Universität Karlsruhe (TH). Im Dezember 2017 wurde Prof. Dr. Jörn Müller- Quade in die Reihe „Digitale Köpfe“ der Badische Neuste Nachrichten aufgenommen.

Macht Digitalisierung die IT von Industrie und Wirtschaft anfälliger für Angriffe von außen?
Leider ja, IT-Systeme sind komplex und schwierig abzusichern. Ein Aspekt, der hier wichtig ist, betrifft das Skalieren von Angriffen. Wenn die Menschen in der analogen Welt einige Briefkästen mit unsicheren Schlössern hatten, war es für einen Angreifer immer noch sehr schwierig, Hunderte oder Tausende dieser Briefkästen ausfindig zu machen und aufzubrechen. Eine Verwundbarkeit in der digitalen Welt kann dagegen leicht millionenfach ausgenutzt werden. Angriffe skalieren ganz anders und wir müssen an die Sicherheit von Softwareprodukten viel höhere Maßstäbe anlegen, als wir es aus der analogen Welt gewöhnt sind. Auch sollte bedacht werden, dass Cyberkriminalität inzwischen ein hochprofessionelles, arbeitsteiliges Business geworden ist. Malware kann man kaufen, korrumpierte Rechner massenweise mieten. Die Vorstellung, dass ein Hacker sehr fähig sein muss, stimmt damit nicht mehr. Kriminelle Energie und die Bereitschaft zu investieren genügen heute.

Wie laufen Angriffe typischerweise in einem Industrieunternehmen ab, auf was haben es die Angreifer abgesehen?
Es gibt viele Arten von Angriffen. Der typischste Angriff auf ein Unternehmen beginnt mit Social Engineering, das heißt man bringt einen Mitarbeiter dazu, etwas zu tun, was er besser nicht tun sollte, etwa eine Malware installieren oder auf einen E-Mail-Anhang klicken, der eine Verwundbarkeit ausnutzt und Malware installiert. Die gefährlichsten Angriffe dieser Art nennt man Spear Phishing. Hier wird eine E-Mail gezielt für einen Empfänger so entworfen, dass sie vertrauenswürdig wirkt. Weiß der Angreifer in welchem Verein man ist, kann er eine Phishing-Mail so aussehen lassen, als ob sie von dort käme. Selbst misstrauische Menschen fallen darauf herein. Um solche Angriffe zu verhindern oder zu erschweren muss das Sicherheitsbewusstsein der Mitarbeiter geschärft werden und man sollte möglichst keine Verwundbarkeiten in seiner IT haben. Hier hilft es immer, die aktuellsten Software-Patches einzuspielen, aber eigentlich brauchen wir Software von viel besserer Qualität. Dies könnte etwa über eine Produkthaftung erzielt werden.

Was beabsichtigen die Angreifer?
Cyberkriminelle etwa wollen Geld verdienen. Dies kann durch Erpressung erfolgen, bekannt sind Ransomware- Angriffe, bei denen Firmendaten verschlüsselt werden und nur gegen ein Lösegeld wiederhergestellt werden. Andere Fälle von Erpressung drohen damit, durch eine Flut von Anfragen einen Online-Händler unerreichbar zu machen, was zu Umsatzeinbußen führt.

Sind Angriffe auf die IT von Unternehmen selten oder häufig erfolgreich und was die Konsequenzen aus einem gelungenen Coup?
Leider fehlen verlässliche Daten darüber, wie selten oder häufig Angriffe erfolgreich sind. Weil aber Cyberangriffe skalieren, genügt schon eine sehr geringe erfolgswahrscheinlichkeit. Klickt nur jeder Tausendste auf einen bösartigen E-Mail-Anhang, sind das immer noch tausende von Opfern. Zahlt davon nur jeder Zehnte Lösegeld, ist der Verdienst immer noch beträchtlich. Werden erfolgreich Firmendaten abgegriffen, wird dies häufig nicht bemerkt. Das Geschäft läuft irgendwie nicht so gut wie gedacht und ein Konkurrent hat auf einmal die Nase vorne, aber dafür gibt es so viele Erklärungsmöglichkeiten, dass man dies nicht mit Cyberangriffen in Zusammenhang bringt.

Wie schützt man sich am besten? Ist dafür Hard- und Software notwendig?
Zuerst sollte man den minimalen Schutz sicherstellen, alles andere ist wirklich fahrlässig. Also immer die aktuellsten Software-Versionen verwenden und sichere Passwörter. Zusätzlich sollte man Internethygiene beachten, also mit Dienstrechnern nicht in den Tiefen des Internets stöbern, sondern dafür lieber ein Tablet verwenden, auf dem keine Firmendaten sind. Über den Minimalschutz hinaus kann man E-Mails verschlüsseln, das Firmennetz mit einer Firewall schützen und mit einem Intrusion Detection System ständig überprüfen, ob ein Angriff erfolgt. Für den Fall sollte man einen Notfallplan haben. Um sich gegen professionelle Angreifer zu schützen, sollte ein besonders sensitiver Teil der IT von anderen Netzen abgekoppelt sein oder manche Dinge analog verarbeitet werden.

Ist das für kleine und mittelständische Unternehmen ein großer finanzieller und organisatorischer Aufwand?
Die organisatorischen Maßnahmen sind wahrscheinlich die wichtigsten und ziehen die technischen Maßnahmen und Kosten nach sich. So sollte es einen IT-Sicherheitsbeauftragten direkt unter dem Chef geben. Leider fehlen in kleinen und mittelständischen Unternehmen häufig die Kompetenzen oder es gibt einfach nicht
genug Leute. Hier wäre es toll, wenn es Sicherheit als Service gäbe, man also als kleines Unternehmen Daten in der Cloud verarbeitet, und sich dort Profis um die Sicherheit kümmern. Leider dürfte ein solcher Anbieter aber nicht aus einem anderen Land kommen, in dem Firmen den Geheimdienst unterstützen müssen. Der Trend zur Verarbeitung von sensitiven Daten wie Textverarbeitung für Geschäftsbriefe in der Cloud ausländischer Anbieter ist besorgniserregend. Leider denken kleine Firmen häufig, dass sie nichts zu verbergen haben. Dies ist aber falsch, denn sie sind Teil eines großen wirtschaftsgeflechtes, das als Ganzes ausgespäht wird.


Titelbild: unsplash, Ashwin Vaswani