Cyberangriff: "Schadenspotential bei Versorgern am größten"

Cyberangriff: "Schadenspotential bei Versorgern am größten"

Uniprofessor Timo Kob, einer der renommiertesten Cybersecurity-Spezialisten im deutschsprachigen Raum, warnt vor Angriffen auf Infrastruktureinrichtugen.

IT-Sicherheitsexperte Timo Kob erklärt im Gespräch mit trend.at, warum die staatliche Infrastruktur zu wenig vor Cyberangriffen geschützt ist, warum die Industrie 4.0 eine völlig neue Dimension der Risiken darstellt, in einer Bank der Schutz von Kundeneinlagen gegen Cyberkriminelle zweitrangig ist und worauf man beim Kauf von Alarmanlagen achten sollte.

Die jüngste Meldung aus der Welt der Cyberattacken beunruhigt. Im vergangenen Jahr hat es pro Monat durchschnittlich 500 bedrohliche Cyberangriffe auf Einrichtungen der NATO gegeben. Auch andere wichtige staatliche Infrastruktur wie Banken, Versorger und Transportwirtschaft sind Angriffen auf ihre IT ausgesetzt. Mit der digitalen Transformation steigt auch die Anforderung für die Sicherheit der Software. Timo Kob, Mitbegründer und Vorstandsmitglied von HiSolutions, Professor an der FH Campus Wien und einer der renommiertesten Spezialisten für Cyberkriminalität erklärt, welchen Risiken Staat und Unternehmen ausgesetzt sind.


Maschinen sind auf Angriffe durch das Internet nicht vorbereitet

Bei welcher für die Allgemeinheit wichtigen Infrastruktur ist die Gefahr, neben militärischen Zielen, am größten?

Das Schadenspotential ist bei Energieversorgern besonders hoch. Dieser Aspekt wurde lange zu wenig intensiv betrachtet. Ein Beispiel: Energieversorger nutzen zur Steuerung von Kraftwerken oder Talsperren Software. Das Problem ist jedoch und das trifft auf praktisch alle Maschinen zu, dass viele dieser Programme ursprünglich für nicht-vernetzte Maschinen erstellt wurden. Auf Angriffe durch das Internet sind diese Systeme daher weder ausgelegt noch vorbereitet. Maschinen sind im Schnitt für die Nutzung von 30 Jahren ausgelegt. Dass die Software beziehungsweise das Systeme während des Lebenszyklus verändert wird, ist nicht vorgesehen.


Technisch nicht möglich, dass eine Software ohne Update auskommt

Welche Gefahren bringt die Digitalisierung von Maschinen, die für die Infrastruktur wichtig sind, mit sich?

Mittlerweile ist fast jede Software irgendwie mit dem Internet verbunden. Jede Software sollte jedoch immer wieder upgedatet werden, da es technisch nicht möglich ist, diese so zu programmieren, dass niemals ein Update notwendig wird. Allerdings ist es auch nicht ratsam für die Elektronik eines Kernkraft- oder Wasserkraftwerks ein Software-Update zu installieren, wenn man erst hinterher ausprobieren kann, ob diese auch funktioniert. Wenn etwa die Talsperre für ein Wasserkraftwerk nicht mehr funktioniert, könnte das fatale Auswirkungen haben. Die Industrie 4.0 bringt also eine völlig neue Dimension der Risiken mit sich. Vielfach weiß man in letzter Konsequenz nicht, was das für die Sicherheit eines Unternehmens bedeutet.


90 Prozent der Angriffswege können relativ einfach blockiert werden

Fällt bei neu angeschafften Maschinen diese Gefahr weg?

Der Druck zur Digitalisierung lässt die Sicherheit vielfach in den Hintergrund rücken. Aus Angst vor Sicherheitslücken bei der digitalen Transformation nicht dabei zu sein, ist aber auch keine Lösung. Wichtig ist, dass schon in der Konzeptionsphase solcher vernetzter Computer Sicherheitsexperten an Bord sind. Die Kosten dafür sind überschaubar. Wenn man Sicherheitslösungen allerdings erst später nachrüstet, wird es teurer. Sicherheitsmaßnahmen zu installieren ist auch nicht so komplex, wie man meinen möchte. Es gibt rund zehn bis zwanzig Maßnahmen, die man umsetzen muss, um 90 Prozent der Angriffswege zu blockieren. Banken können ihre Sicherheitsstandards dagegen nicht schleifen lassen.


Lahmgelegter Wertpapierhandel ist für Banken das größte Sicherheitsrisiko

Banken sind durch die strengen Vorschriften von Basel III verpflichtet, ihre IT vor einer Bedrohung zu schützen. Was ist für eine Bank das größte technische Sicherheitsrisiko?

Wenn der Wertpapierhandel lahm gelegt wird. Wenn der Handel zum Stillstand kommt und es sind Wertpapier-Positionen offen oder Anleger, die handeln wollen, aber aufgrund des Ausfalls nicht können, entstehen durch nachfolgende Rechtsstreitigkeiten und mögliche Schadenersatzansprüche, dessen finanzielle Dimension nicht absehbar sind, enorme Schäden. Der Schutz der privaten Konten ist, gemessen an den möglichen Schäden, vergleichsweise überschaubar.

Welche Vorkehrungen müssen Banken treffen, um aus Sicht der EU vor Angriffen gut geschützt zu sein?

Die EU prüft, ob die Maßnahmen der externen Rechenzentren des Institutes ausreichen und der Krisenstab der Bank, der für Angriffe von außen trainiert werden muss, gut gerüstet ist. Es muss nachvollziehbar sein, wie interne Prozesse funktionieren und über welche Rechner und Netze welche Daten fließen. Ist letzteres nicht klar, kann das ein nicht zu unterschätzendes Risiko darstellen. Viele Daten sind über die Jahre in unterschiedlichen Bereichen und Systemen aufgebaut worden und bei manchen weiß die IT-Abteilung gar nicht, dass sie überhaupt existieren und wenn doch, wo die überall langlaufen. Andere Daten wiederum gibt es nicht selten doppelt oder dreifach.


Viele Unternehmen haben keinen Plan, wo welche Daten wann fließen

Was kann man gegen den Datenwildwuchs tun?

IT-Spezialisten, wie wir, versuchen Struktur in das System zu bekommen und müssen oft erst in mühsamer Kleinarbeit herausfinden, welche Daten miteinander zusammen hängen. Der Datenwildwuchs hat in den vergangenen 15 Jahren deutlich zugenommen. Unserer Erfahrung nach haben viele Unternehmen keinen Plan, wo welche Daten wann fließen, da jeder an einer anderen Stelle Informationen sammelt. Die Daten hinterher zu verschlüsseln, ist dann im Vergleich dazu, nicht so aufwendig.

In den vergangenen Jahren gab es einen Trend Daten outzusourcen, manchmal sogar in Länder wie Indien. War das in Bezug auf die Datensicherheit eine gute Entscheidung?

Viele haben das bitter bereut. So haben auch Banken diese Möglichkeiten, günstiger arbeiten zu lassen, probiert. Das Problem ist dann meist gar nicht, dass dort technisch schlechter gearbeitet wird, sondern der Kontrollverlust. Da sind viele kräftig auf die Nase gefallen.

Wie streng sind Aufsichtsbehörden bei Banken, wenn es darum geht, Sicherheitslücken zu sanktionieren?

Vorstände oder andere verantwortliche Manager können Geldstrafen erhalten und wenn Probleme nicht innerhalb einer bestimmten Frist gelöst werden, kann dem Vorstand die Lizenz entzogen werden. De facto hat die Aufsicht damit die Möglichkeit, einen Manager im Ernstfall zu entlassen.


Fusionen bieten die Chance das Chaos aufzulösen

Wie problematisch sind Übernahmen von Banken aus sicherheitstechnischer Sicht?

Die Gefahr ist nur dann groß, wenn man die beiden zu fusionierenden IT-Systeme nicht genau unter die Lupe nimmt. Wenn zwei Häuser mit technischem Wildwuchs zusammenkommen, bringt es nichts, diese mit zahlreichen technischen Hängebrücken zu verknüpfen. Fusionen bieten daher auch eine Chance das Chaos zu lösen und herauszufinden, wie beide Unternehmen funktionieren und eine gemeinsame Struktur aufsetzen können. Wer das nicht beherzigt, ist größeren Gefahren einer Attacke ausgesetzt, denn je komplexer eine Unternehmensstruktur, umso wahrscheinlicher wird auch ein Angriff.

Wie sehr müssen Bankkunden fürchten Opfer eines Cyberangriffs zu werden?

Die Kunden sind das schwächste Glied im Sicherheitssystem einer Bank und daher ein beliebtes Ziel von Cyberattacken - etwa in Form von Phishing-Mails. Dabei wird versucht Kunden mit Hilfe von Fake-Portalen Passwörter zu entlocken. Wenn bei einer Million versendeter Phishing-Mails 1.000 darauf antworten und so jeweils beispielsweise 2.000 Euro in die Hände von Cyberkriminellen geraten, sind das auch zwei Millionen Euro. Für die Bank oder ein anderes Unternehmen wird es jedoch erst richtig bedrohlich für das System, wenn durch einen einzigen Angriff eine hohe Summe abgezogen wird. Bei ganz großen Betrügereien sitzt meist sogar ein Informant in der Bank, da dazu ein großes Insiderwissen nötig ist. Neben dem Diebstahl von Geld können Kriminelle auch versuchen eine Bank zu erpressen. Beispielsweise verlangen sie Bitcoins und drohen damit, dass Online Banking andernfalls lahm zu legen. Es kann aber auch die Absicht von Tätern sein, durch die Sabotage der Bank-IT oder anderer heikler Infrastruktur die Volkswirtschaft respektive der Gesellschaft insgesamt zu schaden, es also gar nicht auf eigene Bereicherung abzusehen. Da wären wir dann beim Cyber-Terrorismus.


Verbraucher sollten nur technische Geräte kaufen, die sie auch Updaten können

Neben der Installierung von Sicherheitssystemen wird auch immer wieder auf die Wichtigkeit von Software-Updates hingewiesen. Führen Firmen diese denn auch durch?

Für rund ein Drittel aller Systeme weltweit werden keine Updates durchgeführt, obwohl sie zur Verfügung stehen. Doch die wären dringend notwendig, denn keine Software kann so entwickelt werden, dass sie dauerhaft sicher ist. Auch Verbraucher sollten daher nur technische Geräte mit einer Software erwerben, die sich auch aktualisieren lässt. Wer etwa eine Alarmanlage kauft, sollte darauf achten, dass ein regelmäßiges Systemupdate möglich ist. In der Gebrauchsanweisung findet man jedoch in der Regel keinen Hinweis darauf. Entweder man erfährt es beim Händler oder man recherchiert direkt bei der Firma, etwa auf deren Homepage. Kommen Konsumenten zu schaden, die Produkte mit einer Software gekauft haben, die nicht aktualisiert wird, können diese nicht den Hersteller in Regress nehmen, da Softwarehersteller dafür nicht haften. Die Argumentation in der Judikatur lautet, dass fehlerfreie Softwareentwicklung nicht möglich ist und sonst niemand mehr eine Software entwickeln würde und Innovationen in diesem Bereich zum Stillstand kommen würde. Hier herrscht dringender Handlungsbedarf seitens der Politik für diese Haftungsproblematik eine kluge Lösung hierfür zu finden.

Nach der Kavallerie kommt das Cyberheer

Digital

Nach der Kavallerie kommt das Cyberheer

Digital

Digitaler Nachlass: Abschied von Profilen, Daten und Konten

Blockchain-Mekka Gondo
Das Krypto-Dorf in den Alpen

Digital

Blockchain-Mekka Gondo
Das Krypto-Dorf in den Alpen