Eine hundertprozentige Sicherheit gibt es nicht
Cybersicherheit in der IKT
Interview mit Prof. Dr. Gabi Dreo Rodosek, Lehrstuhl für Kommunikationssysteme und Netzsicherheit an der Universität der Bundeswehr München und leitende Direktorin des Forschungsinstituts CODE (Cyber Defence)
Die TiB sprach mit Prof. Dr. Rodosek über Cybersicherheit in der IKT. Es ging um Cyberangriffe und Bedrohungsszenarien, die Absicherung von Geräten im Internet of Things (IoT), Netzsicherheit und Usable Security. Welche Infrastrukturen gefährdet sind, wie groß der Einfluss sozialer Medien ist und wo Europa momentan in Sachen Cybersicherheit steht.
Technik in Bayern: Frau Prof. Dreo: Cyber Security bedeutet ja Sicherheit von Daten in Netzwerken. Stimmt das und wie kann man sicher im Netz kommunizieren?
Prof. Gabi Dreo Rodosek: Die Informations- und Kommunikationstechnologie (IKT) ist heute in allen Bereichen der Gesellschaft von zentraler Bedeutung: Gesundheit, Mobilität, Bildung, Unterhaltung, Produktion, Logistik, Handel, Finanzen oder auch der Versorgung (z. B. Energie, Wasser) sowie militärisch vernetzter Operationen. Eine vertrauenswürdige IT ist die Grundvoraussetzung für eine sichere Nutzung der IKT in unserer digitalen Gesellschaft. Daher ist Cybersicherheit umfassender und bezieht sich nicht nur auf die Datensicherheit. Vielmehr umfasst sie die Sicherheit der kompletten IKT von den Geräten und Netzen bis hin zu Anwendungen und Diensten.
Der Schutz des Anwenders, insbesondere seiner Privatsphäre, ist ein weiterer wesentlicher Faktor. Da es eine hundertprozentige Sicherheit nicht gibt, können wir Systeme und Kommunikation nur kontinuierlich immer sicherer machen, z. B. durch Verschlüsselung der Kommunikation.
TiB: Das Gebiet der Cybersicherheit ist demnach sehr umfangreich. Könnten Sie es etwas strukturieren?
Prof. Dreo Rodosek: Cybersicherheit adressiert unterschiedliche Aspekte, die jedoch holistisch betrachtet werden müssen. Die Sicherheit der Internet of Things (IoT)-Geräte steht da genauso im Fokus wie die Netzsicherheit, die Sicherheit von Systemen und Software bis hin zur Anwendungs- und Benutzersicherheit.
TiB: Wenn wir an das IoT (Internet of Things) denken, wie kann man eine so große Anzahl an Geräten absichern?
Prof. Dreo Rodosek: Prognosen gehen davon aus, dass wir bis 2022 um die 50 Milliarden vernetzter IoT-Geräte (z.B. IP-Kameras, Lautsprecher, Sensoren) haben werden. Daher ist es notwendig, bereits bei der Entwicklung von IoT-Geräten die Sicherheitsaspekte zu berücksichtigen und mitzuentwickeln (Security-by-Design).
Ein nachträgliches Umsetzen der Sicherheitsmaßnahmen ist viel aufwändiger, teurer und fast ein Ding der Unmöglichkeit. Ferner ist durch die Komplexität und Vernetzung die Einbringung von Schwachstellen viel wahrscheinlicher.
TiB: Die nächste Stufe ist dann das Netz?
Prof. Dreo Rodosek: Bei der Netzsicherheit geht es um die Absicherung von Rechnernetzen gegen Cyberangriffe. Da die Angriffe komplexer werden, bedarf es auch einer Reihe von Sicherheitsmechanismen zur Abwehr, die von Firewalls, Intrusion Detection and Prevention Mechanismen bis hin zu neuartigen Ansätzen wie Moving Target Defence (MTD) reichen. MTD ist derzeit im Blickpunkt der Forschung, da es die Angriffsfläche dynamisiert und es somit dem Angreifer sichtlich erschwert in die Systeme einzudringen.
TiB: Die nächste Stufe ist die Usable Security – die handhabbare Sicherheit der Benutzer?
Prof. Dreo Rodosek: Die Sicherheit aus Sicht des Benutzers ist teilweise viel zu komplex. Es ist notwendig Technologie, wie z. B. Passwortmanager, einzusetzen, um ein höheres Sicherheitsniveau zu erlangen. Biometrische Verfahren wie Fingerprint, Gesichts- oder Venenscan sind weitere Beispiele.
TiB: Sind diese biometrischen Verfahren wirklich sicher?
Prof. Dreo Rodosek: Wie bereits erwähnt existiert keine hundertprozentige Sicherheit. Auch biometrische Verfahren können überlistet werden. Jedoch bieten sie im Vergleich zu anderen Systemen wie Kennwörtern häufig ein Mehr an Sicherheit und vor allem ein Mehr am Komfort. Idealerweise sollten auch biometrische Verfahren mit anderen Verfahren (z. B. PIN) kombiniert werden.
Eine Multi-Faktor-Authentifizierung, wobei verschiedene Kategorien wie Wissen (Etwas, das Sie kennen), Besitzen (Etwas, das Sie haben) und Inhärenz (Etwas, das Sie sind) kombiniert werden, ist nach aktuellem Stand der Forschung am sichersten.
TiB: Die Gefährdungsszenarien aus dem Netz sind vielfältig. Gab es nicht Bestrebungen, das Internet ganz neu aufzusetzen?
Prof. Dreo Rodosek: Das Internet, dessen Entwicklung vor mehr als fünf Jahrzehnten anfing, war nie für die Anforderungen in Bezug auf Sicherheit oder auch Dienstqualität der heutigen Zeit gedacht. Die Stanford Universität versuchte in einem interdisziplinären Projekt zu untersuchen, wie das Internet konzipiert werden müsste, um den heutigen Anforderungen zu entsprechen. Dieses Projekt war später unter dem Namen Clean Slate bekannt geworden.
TiB: Die letzte Stufe ist die Anwendungssicherheit. Wie kann man verhindern, dass der Anwender Schadsoftware durch Apps auf sein Gerät lädt?
Prof. Dreo Rodosek: Das ist schwierig, da Apps auch mit Malware infiziert sein können. Mobile Malware wird zu einer immer größeren Bedrohung. Allein 2017 wurden 27.000 neue Varianten registriert. Eine gute Schutzmöglichkeit ist Apps nur von den offiziellen Stores von Apple und Google zu laden. Aber auch hier gelang es Kriminellen, Schadsoftware in die Plattformen einzuschleusen. Der beste Schutz des Anwenders ist aus meiner Sicht die Aufklärung, das Bewusstsein für Informationssicherheit und nicht zuletzt gesunder Menschenverstand. Die Kombination dessen, gepaart mit dem Security-by-Design Ansatz, führt sicherlich zu einem deutlich besseren Sicherheitsniveau des Anwenders.
TiB: Was ist das Ziel dieser Angriffe?
Prof. Dreo Rodosek: Mit diesen Angriffen versuchen Angreifer unberechtigten Zugriff auf Systeme und Daten zu erlangen, um Informationen abzugreifen, und teilweise auch die befallenen Endgeräte selbst für kriminelle Zwecke zu missbrauchen. Das Problem bei der Aufklärung von Cyberattacken ist die sogenannte Attribution.
TiB: Was ist unter Attribution zu verstehen und warum ist sie problematisch?
Prof. Dreo Rodosek: Unter Attribution wird die Zuordnung von Cyberattacken zu bestimmten Angreifern verstanden. Dies ist jedoch äußert schwierig, da die Angreifer eine Vielfalt an Verschleierungstechniken nutzen können, um eigene Spuren zu verwischen. Je besser die Angreifer sind, desto schwieriger ist die Attribution.
TiB: Sind kritische Infrastrukturen durch mögliche Angreifer besonders gefährdet?
Prof. Dreo Rodosek: Kritische Infrastrukturen (KRITIS) sind besonders gefährdet [1] und ein attraktives Ziel für Angreifer. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI), als auch Telekommunikationsbetreiber wie die Deutsche Telekom belegen den extremen Anstieg von Angriffen, teilweise exponentiell. Kritische Infrastrukturen werden auch immer stärker angreifbar, da die Betreiber auf Vernetzung und Digitalisierung setzen, um die Effizienz zu steigern und die Kosten zu senken. Neben den Vorteilen werden jedoch auch neue Gefahrenpotentiale aufgezeigt, da u.a. Systeme aus dem Internet erreichbar sind.
TiB: Abseits der offiziellen Definition: Sehen Sie weitere kritische Infrastrukturen, bspw. IoT oder Industrie 4.0?
Prof. Dreo Rodosek: Neben KRITIS gibt es auch andere wichtige Infrastrukturen z. B. Suchmaschinen. Mit der Nutzung von Suchmaschinen wie Google trainieren wir nicht nur die Algorithmen von Google (Machine Learning), sondern geben auch indirekt Auskunft über Themenfelder, an denen wir arbeiten. Durch die Korrelation der einzelnen „Bausteine“ ergibt sich dann das gesamte „Mosaikbild“.
Die eigentliche Frage ist doch, ob wir nicht im Sinne der digitalen Souveränität Europas mehr in die Entwicklung eigener digitaler Plattformen investieren müssen. Denn wenn wir USA und China betrachten, dann gibt es Amazon und Alibaba oder Google und Baidu oder Facebook und Tencent. In Europa gibt es keine derartigen Plattformen.
TiB: Wie beurteilen Sie den großen Einfluss sozialer Medien?
Prof. Dreo Rodosek: Auch soziale Medien sind eine wichtige Infrastruktur, da diese die Demokratie und das Selbstverständnis der Bürger fördern, aber auch bedrohen können. Wenn nicht mehr Personen Meinungen verbreiten, sondern Programme, sog. Social Bots, dann ist das ein Angriff auf unsere Demokratie. Gezielte Desinformation gefährdet die demokratische Willensbildung und bedarf daher gesteigerter Aufmerksamkeit und gezielter Gegenmaßnahmen.
Die Möglichkeit über soziale Medien jedoch direkt eigene Meinungen kundzutun ist wiederum eine Stärkung der Demokratie. Die Herausforderung ist, mit KI und Algorithmen Desinformation, Manipulationen oder Social Bots zu erkennen und Gegenmaßnahmen einzuleiten, ohne jedoch die Meinungsfreiheit zu behindern.
TiB: Brauchen wir dazu die KI?
Prof. Dreo Rodosek: Heutzutage wird die Verbreitung von KI-Systemen durch Fortschritte im Bereich des maschinellen Lernens vorangetrieben. Im Gegensatz zum expliziten Programmieren lernt das System eigenständig und durch die Analyse der vorliegenden Daten. Die enormen Mengen von Daten und die hohe Komplexität der IT-Umgebung bedürfen des Einsatzes des maschinellen Lernens.
TiB: Wo steht Europa in Bezug auf Cybersicherheit?
Prof. Dreo Rodosek: Mit der Billigung des Rechtsakts zur EU-Cybersicherheit hat die EU einen wesentlichen Schritt gemacht, um der zunehmenden Zahl von Cyberbedrohungen zu begegnen. Die Stärkung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die Schaffung eines gemeinsamen Zertifizierungsrahmens, die Vernetzung von Cybersicherheitskompetenz wie im Rahmen des H2020-Projektes CONCORDIA, die neuen Forschungs- und Entwicklungsprogramme wie Horizon Europe oder Digital Europe Programme sind u. a. wesentliche Schritte zur Stärkung der Cybersicherheit in Europa. Das ist gut so, denn Cybersicherheit ist das Fundament unserer digitalen Gesellschaft.
Das Interview führten Fritz Münzel, Walter Tengler und Silvia Stettmayer
Erstmals erschienen in: TiB Ausgabe 2019 November/Dezember