100 Prozent Sicherheit gibt es nicht
Experten trafen einander in Berlin, um über IT-Sicherheit in Banken oder bei Verkehrssystemen zu sprechen. Dabei kam man auch zum Schluss: Weniger digital könnte sicherer sein.
Das Bild des einzelgängerischen ITProfis, der in abgedunkelten Räumen am Laptop Passwörter knacken will, ist nicht nur abgedroschen, sondern auch falsch. Mehr als die Hälfte aller Cyberattacken stammen hierzulande von Kriminellen, die keine IT-Ausbildung haben. Interessant auch, worum es den Angreifern laut einer Studie der Donauuniversität Krems geht: Identitätsdiebstahl ist das häufigste Delikt. Forscher um die Sozialwissenschafterin Edith Huber haben dafür zwischen 2006 und 2016 angelegte Akten des Straflandesgerichts Wien analysiert. Die Ziele der Angriffe sind hauptsächlich Banken, sagte Huber im Rahmen einer kürzlich von dem Austrian Institute of Technology (AIT), dem Complexity Science Hub (CSH) Vienna und der ETH Zürich organisierten Diskussion in Berlin. „Cyber Security – How to protect critical infrastructure“fand während der alljährlichen Science Week statt.
Hacker handeln aber nicht nur nach eigenen Vorstellungen, sie werden für ihre Dienste auch von Gemeindiensten engagiert. Thomas Stubbings von der CyberSecurity-Plattform Austria berichtete von einer Studie des Centre for Risk Studies der University of Cambridge: Demnach seien 91 Hackergruppen von Staaten bezahlt, um in den digitalen Netzwerken anderen Staaten Informationen auszuspionieren und letztlich zu manipulieren. Sie kommen aus China, Nordkorea, Russland, aus den USA, dem Iran, aus Israel, Palästina, Vietnam, Syrien und dem Libanon.
Besonders aktive Hacker
Besonders aktiv seien Gruppen wie Fancy Bear aus Russland. In Erinnerung sind unter anderem deren Angriffe auf die World Anti-Doping Agency (WADA) und auf die Wahlkampagne des jetzigen französischen Präsidenten Emmanuel Macron. Verbindungen mit eventuellen Auftraggebern konnten selbstverständlich nie nachgewiesen werden.
Das Fazit der Experten und Expertinnen in Berlin: Eine vollkommene IT-Sicherheit kann es nicht geben, sagte zum Beispiel Martin Stierle vom AIT. „Wir verlieren in diesem Kampf beim Bemühen, sichere Systeme herzustellen.“Thomas Stubbings meinte, sichern allein reiche schon lange nicht mehr aus. Er schlägt einen Paradig- menwechsel vor – nicht mehr Prävention allein sollte im Vordergrund stehen. Man müsse das Katz-und-Maus-Spiel der Angreifer mitmachen und Systeme entwickeln, die auf Attacken schnell und effizient reagieren können. Kontrollen durch eigens engagierte Firmen-Hacker seien wichtig, um auftretende Lücken zu identifizieren.
Lutz Prechelt, Professor für Software-Engineering an der Freien Universität Berlin, brachte Überlegungen in die Diskussion, die man von einem Informatiker vielleicht so nicht erwartet hätte: Er sprach von der teilweise überbordenden Komplexität von Systemen. Nicht jede Infrastruktur müsse digital vernetzt sein, man könnte da ohne Probleme auch den einen oder anderen Schritt zurück aus der Vernetzung gehen.
Prechelt sprach das Beispiel Wasserversorger an und formulierte sein Unverständnis darüber, dass diese digital vernetzt und daher für Cyberattacken verwundbar werden. In seiner Gefahrenabschätzung wies der Wissenschafter auch auf Mitarbeiter im Umfeld sicherheitskritischer digitaler Systeme hin, die sich aus Frustration – zum Beispiel nach einer Kündigung – rächen könnten. Eine nicht zu unterschätzende Gefahr, sagte Prechelt. „Schon allein deswegen ist es wichtig, Mitarbeiter immer gut zu behandeln.“Man würde sich als Unternehmer ansonsten ins eigene Fleisch schneiden.
Was man übrigens auch als Nutzer sozialer Netzwerke machen kann. David Garcia vom Complexity Science Hub, seit Herbst 2017 Gruppenleiter in Wien, untersucht Verhaltensmuster von Nutzern zum Beispiel auf Facebook und wie diese nicht nur eigene Daten, sondern auch jene ihrer Kontakte preisgeben, in dem sie die Kontaktliste aus dem E-Mail-Programm migrieren. Garcia sieht bei Usern eine große Sorglosigkeit im Umgang mit Informationen auf sozialen Netzwerken. Arbeitgeber könnten derlei Daten genauso nutzen und missinterpretieren wie Hacker, andere Kriminelle oder der Staat. Die Experten in der Diskussionsrunde sprachen von einer Lethargie, aus der die User womöglich nur durch eine Art Fukushima der Cyberwelt herauskommen. Das würde sich aber niemand ernsthaft wünschen.