"Wenn es um Cybersecurity geht, sind wir nur so gut geschützt wie das schwächste Glied", sagte Margrethe Vestager, geschäftsführende Vizepräsidentin der EU-Kommission und Kommissarin für Digitales, anlässlich der Münchner Sicherheitskonferenz. Angesichts neuer Technologien rund um den Mobilfunkstandard 5G und das Internet of Things wächst demnach die Sorge um die Sicherheit. Zu groß ist die Abhängigkeit von funktionierenden, immer stärker vernetzten IT-Infrastrukturen. Das betrifft nicht nur die Unternehmen, deren Produktion und Lieferketten sowie Partner und Kundennetze digital verknüpft werden. Auch für die Gesellschaft kritische Infrastrukturen wie die medizinische Versorgung, Energienetze und Fahrzeuge hängen mehr und mehr von IT und Vernetzung ab.
Foto: Fresnel - www.shutterstock.com
Das bietet eine größere Angriffsfläche für Hacker und Cyber-Kriminelle. Im jüngsten Risikobarometer der Allianz stuften die befragten Manager Cyber-Bedrohungen erstmals als höchstes Unternehmensrisiko ein. Die zu erwartenden Schäden sind immens. Beispielsweise verursachen Angriffe via Social Engineering und Phishing-E-Mails immer höhere Schäden. Seit 2016 haben betrügerische Aufforderungen, Geld zu transferieren, die angeblich vom Management des beauftragenden Unternehmens stammen, weltweit Verluste in Höhe von rund 26 Milliarden Dollar verursacht.
Doch ein Patentrezept, dieser Probleme Herr zu werden, gibt es nicht. Das wurde auf der 6. Munich Cyber Security Conference (MCSC) am 13. Februar deutlich. Rainhard Ploss, CEO von Infineon Technologies, berichtete von einem Experiment. In einer Fake-Mail, angeblich vom Infineon-Management, wurden Mitarbeiter in der Finanzbuchhaltung aufgefordert, Geld auf ein bestimmtes Konto zu überweisen. Und trotz aller Aufklärung und Awareness-Schulungen habe der Betrug in einigen Fällen funktioniert, sagte Ploss. Das Geld wurde ohne Nachfrage oder Kontrolle überwiesen.
Unsicherheitsfaktor Nr. 1
Der Mensch bleibt der größte Unsicherheitsfaktor, ist sich Juhan Lepassaar, Executive Director der EU-Agentur für Cyber Security ENISA, sicher. "80 Prozent der Probleme entstehen dadurch, dass Leute auf etwas klicken, auf das sie nicht klicken sollten", konstatierte der Sicherheitsexperte. "Und wie oft hat man ihnen gesagt: Klickt nicht auf solche Dinge!"
Neben dem Menschen sind es die Technologien selbst, die die Cybersicherheit bedrohen. Steve Durbin, Managing Director des Information Security Forum (ISF), sprach von einem turbulenten und immer weniger vorhersagbaren Sicherheitsumfeld. Beispiel 5G: Mit höheren Geschwindigkeiten und Bandbreiten werden sich Durbin zufolge operative Systeme massiv verändern. "Diese Vorteile führen jedoch zu einem exponentiellen Wachstum der Angriffsflächen." Die Netzwerke, die der Gesellschaft zugrunde liegen, würden durch immer neue Angriffe kompromittiert, "was Chaos verursacht und die Wirtschaft in Unordnung bringt", prognostizierte Durbin.
Foto: Sicherheitsnetzwerk München
Der ISF-Direktor warnte darüber hinaus vor Sicherheitslücken in der Cloud und im Internet of Things. Da so viele kritische Daten mittlerweile in der Cloud abgelegt würden, entwickelten sich die Infrastrukturen zu einem Schlüsselziel für Cyber-Kriminelle, aber auch für staatliche Geheimdienste, um fremde Wirtschaftssysteme zu stören und kritische Infrastrukturen zu sabotieren. Im Zuge der immer weiter um sich greifenden Vernetzung von Dingen sieht Durbin die Gefahr eines "Internet of forgotten Things". Geräte, die weiter am Netz hängen, aber vergessen wurden. Solche Devices liefen unter dem Radar der Administratoren, würden nicht mehr gepacht und bildeten so ideale Einfallstore für Hacker.
Diese Bedrohung dürfte schon bald real werden. Für das laufende Jahr gehen Experten weltweit von rund 30 Milliarden Devices im IoT aus. In wenigen Jahren dürften es bereits einige hundert Milliarden sein.
IT-Security-Technik schneller als Politik
Vor dem Hintergrund dieser rasanten Entwicklungen braucht es einen neuen Sicherheitsrahmen. Zumindest darüber scheint man sich auf politischer Ebene einig zu sein. Margaritis Schinas, Vize-Präsident der EU-Kommission, sprach zum Auftakt der MCSC von einem Sicherheitsschirm, der in den nächsten Jahren über Europa aufgespannt werden solle. Einfach dürfte das Vorhaben nach Einschätzung des griechischen Politikers allerdings nicht werden. Schinas warnte vor einer immer komplexeren Sicherheitslage und musste einräumen. "Die Technik ist schneller als die Politik."
Der EU-Politiker appellierte für mehr Zusammenarbeit in Sachen IT-Security. Regierungen, Unternehmen, öffentliche Institutionen und die Wissenschaft müssten eng kooperieren, um Lösungen zu entwickeln. Allerdings sei gerade Europa sehr fragmentiert. Das sei ein Problem, sagte Schinas: "Teilweise fühlt man sich in Brüssel allein gelassen, weil nicht alle Staaten die Idee eines freien und offenen Netzes teilen."
Auch José Angel Gurría, Generalsekretär der OECD, rief zu gemeinsamen Anstrengungen in Sachen IT-Sicherheit auf. Die Attacken durch Wannacry und NotPetya vor einigen Jahren hätten gezeigt, wie anfällig die eigenen Infrastrukturen seien. Antworten auf die anstehenden Sicherheitsfragen blieben die Teilnehmer des MCSC indes schuldig. Alle Risiken zu eliminieren sei illusorisch, konstatierte Gurría. Es werde weitere Attacken geben. "Wir müssen lernen damit umzugeben und die Risiken zu reduzieren."
Huawei - ja, nein, vielleicht?
Wie mit potenziellen Risiken umzugehen sei, wurde in München kontrovers diskutiert. Derzeit geht es unter anderem darum, welche Rolle der chinesische Netzausrüster Huawei beim Aufbau der künftigen 5G-Netze spielen soll. Die USA werfen dem Unternehmen vor, eng mit dem Staatsapparat und den Geheimdiensten in China zusammenzuarbeiten. Deshalb soll Huawei nach Ansicht der Amerikaner von der Auftragsvergabe ausgeschlossen werden - am besten weltweit.
Andere Staaten, darunter auch Großbritannien und Deutschland, wollen dagegen nicht auf die Technik aus dem Reich der Mitte verzichten. Hierzulande zweifelt man in Regierungskreisen offen an den angeblichen Belegen für Hintertüren in Huawei-Geräten und den Spionagevorwürfen der USA. In Berlin sprechen manche Politiker hinter vorgehaltener Hand von Propaganda und falschen Anschuldigungen. Andere stehen in dieser Angelegenheit auf der Seite der Trump-Administration. Der Vorsitzende des Ausschusses Digitale Agenda, der FDP-Politiker Manuel Höferlin von der FDP, teilt deren Skepsis. "Aufgrund der Erfahrung der vergangenen Jahre ist klar, dass chinesische Anbieter beim 5G-Ausbau keine vertrauenswürdigen und verlässlichen Partner sind, sondern ein unkalkulierbares Risiko für die IT-Sicherheit in Deutschland", sagte er jüngst der "Süddeutschen Zeitung".
Viele weitere nützliche Informationen rund um das Thema IT-Security finden Sie hier
Damit werden auch Debatten rund um die Frage der digitalen Souveränität neu befeuert. Gerade in Russland und China gibt es derzeit Abschottungstendenzen. Die russischen Machthaber wollen eine Art eigenes Internet im Land aufbauen, das sich auf Knopfdruck vom Rest des globalen Netzes abkoppeln lassen soll. In China hat das Regime die Devise ausgegeben, dass die eigene IT-Infrastruktur in einigen Jahren komplett auf einheimischen Produkten basieren soll - vom Chip bis zur Anwendungssoftware.
BSI-Präsident Arne Schönbohm hält nichts von solchen Diskussionen. "Digitale Souveränität haben wir nicht und hatten wir noch nie." Er verweist auf global vernetzte Lieferketten und die international arbeitende IT-Industrie. Markus Brändle, Chef der IT-Sicherheit bei Airbus, hält die Debatte sogar für naiv. Digitale Souveränität lasse sich nicht auf die Technik reduzieren. Das Thema sei komplexer und habe viele Aspekte. So gehe es auch um Infrastrukturen und Daten.
Der CISO hat es schwer
Für die Unternehmen wird es in dieser Gemengelage schwieriger, den Durchblick in Sachen IT-Security zu behalten. Zumal es den Sicherheitsverantwortlichen nach wie vor schwerfällt, mit ihren Anliegen durchzudringen. Shinichi Yokohama, CISO von NTT in Japan, berichtete, er habe fünf Monate gebraucht, um auf dem C-Level seines Unternehmen Gehör zu finden und eine Security-Agenda setzen zu können.
Was einen CISO ausmacht und welche Aufgaben er hat, lesen SIe hier
Auch die Bereitschaft, für Sicherheit Geld in die Hand zu nehmen, ist nach wie vor gering. Claudia Eckert, Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC), beobachtet, dass viele Hersteller trotz Regularien die Integration von Sicherheitstechniken in ihre Produkte vernachlässigen. Der Grund: Deren Kunden seien nicht bereit, dafür höhere Preise zu zahlen. Aber auch innerhalb der eigenen Organisation seien Kosten für mehr Sicherheit in den eigenen Produkten schwer zu verargumentieren, berichtete Natalia Oropeza, CISO bei Siemens.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Teilweise macht sich schon ein gewisser Fatalismus breit. Infineon-Chef Ploss stellte die "Vertrauensfrage": Vertrauen habe man in Menschen, Regierungen oder Institutionen. Maschinen und das Internet müssten sich erst noch des Vertrauens wert erweisen. "Ich habe aber keine Idee, wie das gehen soll", räumte der Manager offen ein.
Der Skandal um die Crypto AG
"Sicherheit braucht Vertrauen", hatte EU-Kommissar Schinas noch zu Beginn der Konferenz gefordert. Doch die Aufrufe, sich gegenseitig mehr zu vertrauen, wurden durch einen Skandal, der kurz vor der Münchner Sicherheitskonferenz ans Licht der Öffentlichkeit kam, zur Farce. Der deutsche Bundesnachrichtendienst BND und der US-Geheimdienst CIA haben über Jahrzehnte Hintertüren in Verschlüsselungstechnik der Crypto AG eingebaut und damit die Kommunikation in über 100 Staaten belauscht, die entsprechende Geräte eingekauft hatten. Beiden Nachrichtendiensten gehörte die Schweizer Firma. Doch die Eigentumsverhältnisse wurden über Treuhandgesellschaften verschleiert.
Angesichts solcher Nachrichten wird immer unklarer, wer im globalen Spiel der Mächte Freund oder Feind ist. Auch die Anschuldigungen der USA gegenüber China erscheinen in einem neuen Licht. Kaum jemand fragt hierzulande, ob Geräte von US-Ausrüstern manipuliert sein könnten.
Foto: Crypto AG
"Dabei wissen wir seit Snowdens Enthüllungen im Jahr 2013, dass die National Security Agency (NSA) in den USA über Jahre systematisch fremde Staaten und die eigenen Bürger ausspioniert hat", sagte Mitte Februar Security-Experte Bruce Schneier der "Neuen Züricher Zeitung" (NZZ), "unter anderem, indem Hintertürchen in die Verschlüsselungstechnologien der US-Sicherheitsfirma RSA eingebaut wurden." Schneier gibt sich keinen Illusionen hin. Wenn die chinesische Regierung eine Hintertür will, werde Huawei liefern. Genauso wie CIA und NSA schnell Hersteller fänden, die ihre Produkte gemäß den Anliegen der Nachrichtendienste manipulierten. Schneiers Bilanz fällt ernüchternd aus: "Ja, wir leben im goldenen Zeitalter der Überwachung."