Absolute IT-Sicherheit gibt es nicht mehr. Sichere IT-Systeme zu schaffen, um kritische Infrastruktur zu schützen, mag daher ein hehres Ziel sein, ist aber nur mehr ein unzureichender Ansatz. Das erklärten Experten kürzlich bei einer Diskussion im Rahmen der Berlin Science Week. Es brauche einen Paradigmenwechsel von der reinen Prävention zur schnellen Reaktion auf Cyberattacken.
"Der Ansatz, Systeme einfach nur zu sichern, ist fehlgeschlagen", sagte Thomas Stubbings von der Cyber Security Platform Austria im Rahmen der vom Austrian Institute of Technology (AIT), dem Complexity Science Hub (CSH) Vienna und der ETH Zürich organisierten Diskussionsveranstaltung. Martin Stierle vom AIT stimmte dem zu, indem er den "Krieg um die IT-Sicherheit" für verloren erklärte. "Wir versagen dabei, sichere Systeme zu produzieren. Es ist unmöglich", sagte Stierle.
Eine neue Strategie müsse her, so die Experten. "Wir müssen das Spiel unserer Angreifer spielen", erklärte Stubbings. Das bedeute einerseits, in Systeme zu investieren, die Attacken sofort identifizieren können und nicht erst dann, wenn es zu spät ist. Auch das "ethische Hacken", also das gezielte Abklopfen der eigenen IT-Security auf Lücken durch Computerexperten, sei eine wichtige Präventionsmaßnahme. Der strategische Vorteil liege naturgemäß immer außerhalb: "Der Angreifer muss nur einmal richtig liegen, der Verteidiger die ganze Zeit."
Umdenken zu Vernetzung gefordert
Eines der wesentlichsten Probleme, IT-Sicherheit zu gewährleisten, besteht in der enormen Komplexität der Systeme. Genau an dieser Stelle würde Lutz Prechelt von der Freien Universität Berlin ansetzen. Man könne ohnehin fix davon ausgehen, dass es keine 100-prozentige IT-Sicherheit gibt. Daher stelle sich die Frage nach der Organisation der Systeme: "Muss alles, was vernetzt ist, wirklich vernetzt sein?", forderte Prechelt ein Umdenken, etwa ob es notwendig sei, dass selbst Wasserversorger digital und vernetzt sein müssen. Sinisa Matetic von der ETH Zürich setzte dem entgegen, dass dieser Zug längst abgefahren sei: "Alles bewegt sich in Richtung digital."
Die Angreifer auf IT-Systeme sind so unterschiedlich, wie man es sich nur vorstellen kann. Laut einer Analyse von Cambridge Analytics sind 91 Hacker-Gruppen bekannt, die im Auftrag von Staaten - freilich niemals offiziell - agieren. Ihre Ziele sind vor allem Spionage oder die Manipulation von Informationen. Auf internationaler Ebene gelte in dieser Hinsicht die Hackergruppe "APT 28" ("Cozy Bear") als am aktivsten, wie Stubbings ausführte.
Eher kleinkriminelle Cyberfische mit banaleren Motiven verfangen sich in der Regel im Netz der heimischen Justiz. Im Wiener Straflandesgericht etwa beziehen sich mehr als 60 Prozent der unter "Cyberkriminalität" fallenden Delikte auf Identitätsdiebstahl, wie Edith Huber von der Donau-Universität Krems berichtete. In einer Studie im Rahmen des Sicherheitsforschungsförderprogramms "KIRAS" untersuchten die Forscher Akten zu diesem Straftatbestand, die im Zeitraum von 2006 bis 2016 am Straflandesgericht angezeigt wurden.
Drei Gruppen von Tätern
Dabei wurden drei Täterprofile identifiziert. Mehr als 50 Prozent und damit die größte Gruppe der Angreifer hat keine IT-Ausbildung. Die zweite Gruppe ist besser ausgebildet und situiert und handelt oft aus persönlicher Motivation heraus, um etwa der Firma etwas heimzuzahlen. Die dritte, etwas kleinere Gruppe sind Frauen, die hauptsächlich aus finanziellen Gründen Cyberganovinnen werden.
Tenor der Diskutanten: Gegen Cyberattacken ist noch kein Wunderkraut gewachsen. Ansetzen müsse man am ehesten in der Bewusstseinsbildung für IT-Gefahren. Ein großer Gegenspieler ist aber die menschliche Trägheit, bringen doch Smartphone und Co. neben Alltagsneurosen auch viel Effizienz und Bequemlichkeit ins Leben. Wiederholt war von einem "digitalen Fukushima" die Rede, das es vielleicht brauche, um die Leute aus dieser Cyber-Lethargie aufzurütteln. Oft scheitert es aber auch an ganz trivialen Hürden, sagte Huber am Rande der Veranstaltung zur APA: "Die Leute verstehen das Problem IT-Sicherheit einfach nicht. Die Sprache ist Englisch. Gehen Sie einmal auf die Straße und fragen Sie jemanden: Hatten Sie schon einmal eine Phishing- (gesprochen: "Fisching"; Anm.) Attacke?"
Die Berlin Science Week ist eine internationale Veranstaltung, bei der sich vom 1. bis 10. November Wissenschafter in rund 100 Event mit ihren Themen der Öffentlichkeit präsentieren. Heute, Donnerstag, stehen die Präsentationen des Falling Walls Lab am Programm, am Freitag findet die Falling Walls Conference statt.
Service: http://berlinscienceweek.com
(APA/red, Foto: APA/Mario Wasserfaller)
