Digitalisierung und Vernetzung werden unser Leben massiv verändern. Trotz der damit verbundenen Vorteile dürfen die möglichen Risiken nicht ausgeblendet werden. Fest steht, dass auch die Verletzlichkeit und die potenziellen Schäden durch Cybercrime, Datenlecks, Schwachstellen und außer Kontrolle geratene Systeme zunehmen. Denn die Grenzen zwischen digitaler und physikalischer Welt verschwimmen immer stärker. Mit welchen Bedrohungsszenarien Staaten und Unternehmen konfrontiert sind und wie sich die Kehrseiten der neuen vernetzten Welt auf die Gesellschaft auswirken, hat sich APA-Science im aktuellen Dossier angesehen.

"Cybersicherheit wird schon in naher Zukunft als das Hauptproblem der Internet-Ära erkannt und rückt an die Spitze der Herausforderungen, mit denen die Gesellschaft konfrontiert ist", so die Hypothese von Forschern der Universität von Berkeley (Kalifornien) in ihrer aktuellen Studie "Cybersecurity Futures 2020". Sie sehen sich durch die Digitalisierung eher an fast existenzielle Probleme wie den Klimawandel erinnert, weniger an Belange, die Technologiefirmen managen müssen.

Digitale Sicherheit könnte für die Menschen von einem Ärgernis zu einem fundamentalen Risiko werden, das verändert wie wir leben, sehen die Experten auch massive psychosoziale Auswirkungen: "Das wird (...) eine immer präsente existenzielle Bedrohung, die einen Schatten auf unser Leben wirft." So könnten Firmen und Regierungen in der Lage sein, das individuelle menschliche Verhalten vorherzusagen "und uns besser zu kennen als wir uns selbst – nicht nur zu wissen, was wir kaufen oder wohin wir gehen." (siehe "Preise nach Maß noch nicht Realität - dürften aber kommen")

Manipulierbare Erinnerungen

Erinnerungen seien künftig möglicherweise "speicherbar, durchsuchbar, teilbar – und möglicherweise veränderbar". Eine solche Entwicklung rüttle daran, "was es heißt menschlich zu sein, wie wir miteinander umgehen, was Freiheit und Fairness bedeuten und ultimativ, wie wir ein Gefühl, das wir Sicherheit nennen, beurteilen", so die Forscher.

Noch ist es aber nicht so weit. Zwar nimmt die Vernetzung und damit die Zahl der potenziellen Angriffsziele zu – man denke an Industrie 4.0, Smart Grids, Wearables und das "intelligente" Zuhause. Im Alltag zu spüren ist die tatsächliche Tragweite des digitalen Fortschritts – abseits von Smartphone und Social Media – aber bis dato nicht. An Phishing-Mails hat man sich gewöhnt, die Qualität der Passwörter ist weiter verbesserungswürdig und von Attacken auf Bankensysteme oder politisch motiviertem Cyber-Geplänkel fühlt sich kaum jemand persönlich betroffen. (siehe "Datensicherheits-Bewusstsein noch stark unterentwickelt" bzw. Medienkompetenz: "Es geht um Kontrolle und Selbstkontrolle von klein auf")

Deutlich stärker angekommen ist das Thema bei den Unternehmen. Berichte über finanzielle Schäden und massive Reputationsverluste häufen sich. Szenarien, in denen Angriffe auf die (kritische) Infrastruktur von Betrieben und Behörden (Server, Netzwerke, Anlagen,...) massive Auswirkungen auf allen Ebenen haben, werden in Planspielen beleuchtet. An die Unverwundbarkeit der eigenen Systeme glaubt kaum noch jemand.

Jedes zweite Unternehmen betroffen

Schließlich wurde bereits die Hälfte der heimischen Unternehmen Opfer von Cyberattacken und musste zum Teil finanzielle Schäden und einen deutlichen Imageverlust hinnehmen, zeigt eine Studie des Beratungsunternehmens KPMG. Wobei die Dunkelziffer noch höher sein könnte: Ein Viertel der Befragten gibt an, entsprechende Angriffe nicht oder eher nicht zu erkennen. Rund 40 Prozent der Firmen sehen sich dabei als attraktives Ziel. Vor allem große Unternehmen sind sich dessen bewusst, kleine und mittlere Betriebe wiegen sich hingegen eher in Sicherheit. Das könnte beispielsweise im Hinblick auf Industriespionage ein Risiko darstellen, wenn man an die vielen innovativen heimischen KMU und "Hidden Champions" denkt.

Deutlich größere Auswirkungen hätten Attacken auf die kritische Infrastruktur. Egal, ob Strom-Blackouts, Schadsoftware in Kernkraftwerken oder die Manipulation der Steuerungssysteme von Wasseraufbereitungsanlagen: Es sei keine Frage ob, sondern wann Österreich von einem massiven Cyber-Angriff betroffen sein wird, heißt es von Experten. Umso wichtiger ist die Vorbereitung auf den Fall der Fälle.

Schon seit einigen Jahren werden beispielsweise Planspiele durchgeführt, das letzte erst Anfang Mai. Vierzehn Organisationen aus Wirtschaft und Verwaltung sowie Vertreter staatlicher und privater "Computer Emergency Response Teams" (CERTs) sahen sich dabei mit Cyber-Bedrohungsszenarien konfrontiert. Mehr als 100 Personen waren daran beteiligt, die unterschiedlichen Akteure und Konzepte abzustimmen.

"Es ist ja gut, wenn es eine Strategie am Papier gibt. Aber in der angenommenen Realität eines Planspiels stellt es immer eine besondere Herausforderung dar, zu wissen, wer in welcher Situation mit wem kommuniziert, welche Entscheidungen getroffen werden und wie eine Situation eingeschätzt wird", erklärte Alexander Janda, Generalsekretär des Kuratoriums Sicheres Österreich (KSÖ), das sich als nationale Vernetzungs-und Informationsplattform an der Schnittstelle zwischen Wirtschaft, Forschung, Behörden und Gesellschaft sieht.

Wie ein Planspiel im Detail abläuft

Bei einem Planspiel wird vorab eine Art Drehbuch mit verschiedenen Eskalationsstufen geschrieben. "Das führt von ersten Anzeichen einer Anomalie über Teilausfälle von Systemen in einem Sektor, die dann übergreifen, kombiniert mit einem Erpressungsszenario bis hin zu extremen Systemausfällen", so Janda. Dann werde überlegt, wie das Unternehmen mit der Situation umgeht und ob man sich mit anderen Firmen abstimmt. Eine Finanzinstitution könnte beispielsweise versuchen, von einem Netzbetreiber Informationen zu bekommen, woher die Attacken kommen und wie sich künftige Angriffswellen möglicherweise entwickeln.

Anschließend folgen detaillierte Evaluierungsarbeiten, was funktioniert hat und was nicht. "Wir wissen auch von Fällen, wo man bei realen Angriffen sehr froh war, dass man so etwas schon einmal am grünen Tisch geübt hat", sagte der KSÖ-Generalsekretär im Gespräch mit APA-Science. Ein Ergebnis der Planspiele sei, dass neben den technischen Fragen die Kommunikation und die Prozesskette von hoher Bedeutung sind. "Manchmal ist es ja auch für die Firmen schwierig zu wissen, wer denn im Ernstfall innerhalb des Unternehmens mit wem redet. Wer kann welche Entscheidungen treffen und wie kann eine Kooperation mit staatlichen Behörden funktionieren?", so Janda.

Im Rahmen des Planspiels wurde auch versucht herauszuarbeiten, wie sich die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) auf die Cybersecurity-Zusammenarbeit auswirkt. Die Richtlinie wird Meldepflichten, Mindeststandards und Behördenverantwortlichkeiten europaweit verpflichtend vorgeben und muss noch in nationales Recht gegossen werden. "National muss auch entschieden werden, in welchen Bereichen man darüber hinausgeht oder bestimmte Schwerpunkte setzt", erklärte Janda. Den Unternehmen seien vor allem zwei Dinge wichtig: ein Gesetz, das mit der enormen technischen Dynamik mithalten kann, und der Verzicht auf Regelungen, die in sinnlose Administration ausarten.

Im Vorjahr habe der KSÖ einen Stakeholder-Dialog gestartet, um die Erwartungen und Bedenken zu dieser Richtlinie von Wirtschaft, Forschung und Verwaltung zu sammeln. Besonders interessant sei die Frage der Meldeverpflichtung, weil da wirtschaftliche und Reputationsrisiken mitschwingen, sowie die Möglichkeiten eines Informationsaustausches – verpflichtend oder freiwillig, datenschutzrechtliche Bestimmungen und Haftungsfragen. Die Ergebnisse dieses Dialogs werden in Kürze bei einer Sicherheitsenquete veröffentlicht und dann der Bundesregierung übergeben.

Gemeinsam mit dem Innen- und Verteidigungsministerium sowie Wissenschaft und Wirtschaft arbeite das Bundeskanzleramt derzeit mit Hochdruck am neuen Cybersicherheits-Gesetz – die Reaktion auf Hackerangriffe sei wichtig, indem man gut zusammenarbeite und daraus lerne, sagte Sonja Steßl, in ihrer damaligen Funktion als Staatssekretärin, kürzlich. "Das Ziel muss sein, die Systeme in der digitalen Gesellschaft als Ganzes sicherer und widerstandsfähiger zu machen und gegenseitiges Vertrauen zwischen Zivilgesellschaft, Wirtschaft, Wissenschaft und Staat zu schaffen", erklärte dazu Staatssekretär Harald Mahrer.

Meldepflicht grundsätzlich sinnvoll

Einer der umstrittensten Punkte der Richtlinie ist die Meldepflicht. "Das ist grundsätzlich sinnvoll, weil daraus gewisse Angriffsziele und -muster erkannt werden können", erklärte Janda. Wichtig sei, entsprechende Schlüsse daraus zu ziehen und Infos an andere Unternehmen beispielsweise desselben Sektors weiterzugeben oder sie rechtzeitig zu warnen. Ob man die Meldepflicht in anonymisierter Form einführe, sei eine Detailfrage.

"Es kommt darauf an, was wirklich gemeldet werden muss", meint Sebastian Schrittwieser, Leiter des Josef Ressel-Zentrums für konsolidierte Erkennung gezielter Angriffe (TARGET) an der Fachhochschule (FH) St. Pölten. Natürlich sei es nützlich, wenn dadurch Schwachstellen bekannt würden. Er bezweifle aber, dass das wirklich funktioniert: "Selbst wenn man weiß, dass es einen Angriff gegeben hat, ist es trotzdem noch wahnsinnig schwierig herauszufinden, was konkret die Ursache war. Eine reine Meldepflicht, dass eine Attacke stattgefunden hat, reicht nicht aus, um in weiterer Folge ähnliche Angriffe verhindern zu können." Bei großen Angriffen habe es teilweise mehrere Jahre gedauert, bis herausgefunden wurde, dass etwas passiert sei, verwies der Experte auf die im Herbst 2014 auch in Wien aufgetauchte Spionagesoftware "Regin".

Wie häufig es tatsächlich zu größeren Zwischenfällen kommt, ist derzeit noch unklar. "Unternehmen haben keine große Motivation, Zwischenfälle bekannt zu geben", so Schrittwieser. Zwar hätten es in der Vergangenheit immer wieder einige Fälle in die Medien geschafft, das sei aber nur die Spitze des Eisberges. "Reden Sie heute einmal mit dem Rechenzentrum einer Bank. Die werden ihnen sagen, dass sie jeden Tag 300 Angriffe haben. Das ist 'daily business' in vielen Bereichen", gab sich auch Janda überzeugt.

Durch die zunehmende Vernetzung der Systeme - Stichwort Internet der Dinge - wird die Zahl der potenziellen Bedrohungsszenarien laut Studien noch einmal deutlich zunehmen. "Bisher war es so, dass eine Maschine nicht im gleichen Netzwerk war wie die Bürocomputer in einem Unternehmen und die vielleicht auch mit einer anderen Technologie gearbeitet haben. Mittlerweile ist das alles das Gleiche und die Verbindung der unterschiedlichen Systeme ist da", konstatiert Schrittwieser. Wenn künftig jedes Gerät Zugang zum Netz habe, könnten "vielleicht Dinge getan werden, die man sich vorher nicht überlegt hat. Je größer und komplexer das System wird, desto mehr kann man damit anstellen - was in Hinblick auf bösartige Dinge natürlich sehr problematisch ist."

Vernetzung zeigt digitale Schattenseiten

Ein Thema sei beispielsweise auch die Sensorik im Bereich "Smart Home", ergänzte Janda. Hier müsse darauf geachtet werden, dass man nicht über die Steuerung der Rasenbewässerung in das Haus reinkomme. Derzeit beschäftige sich das Kuratorium auch mit dem Thema "Digital Car", also mit der Frage "Sicheres Fahren im digitalen Zeitalter". Auch im Wissenschafts- und Forschungsbereich, der sich mit diesen Themen beschäftigt, sei der Sicherheitsaspekt inzwischen ein ganz wesentlicher. "Sonst passieren Dinge, die derzeit nur im Labor passieren." (siehe "Digitalisierung dominiert die Sicherheitsforschung")

Auch in der Cybersicherheits-Welt im Jahr 2020 werde es um Malware, Firewalls, Netzwerksicherheit und Social Engineering gehen, sind die Forscher der Universität von Berkeley überzeugt. Ein großes Thema werden dann außerdem persönliche Erinnerungen, die Unterschiede zwischen privat und öffentlich (siehe Abtausch "Sicherheit gegen Privatsphäre"), die Macht der Vorhersage und die Aufteilung der Arbeit zwischen Mensch und Maschine sein. Der Begriff Cybersicherheit wird also künftig viel mehr umfassen müssen als Bits und Bytes.

Von Stefan Thaler / APA-Science