Fortgeschrittene, andauernde Bedrohungen
Was haben Indonesien, Nordkorea und Israel gemeinsam? Sie alle waren im ersten Halbjahr dieses Jahres Ziel von Netzwerkattacken durch Internetaktivisten der Bewegung Anonymous. Dabei wurden die Websites der jeweiligen Regierungen, bzw. im Falle Nordkoreas eine der Führung nahestehende Nachrichtenseite, mit Datenanfragen überflutet. Diese DDoS-Attacken (Distributed Denial of Service) führten dazu, dass die Seiten zeitweilig nicht erreichbar waren.
Weiters verschaffte sich die Gruppe beispielsweise die Zugangsdaten zu Benutzerkonten des Kurznachrichtendienstes Twitter und verbreitete darüber Medien, die die Anliegen und Kritik der Gruppe darlegten. Auch in Österreich wurden in der Vergangenheit die Internetauftritte von Parteien, Ministerien und Institutionen Ziel digitaler Attacken. Verboten sind solche Angriffe zwar - passiert sind sie dennoch.
“Was verboten ist, kann auch nicht sein”
Bei der 13. Österreichischen Technikfolgenabschätzung (TA)-Konferenz zum Thema Sicherheit Anfang Juni in Wien betrachtete der Sicherheitsexperte Rolf von Rössing in seinem Vortrag den Trend kritisch, Sicherheit durch eine wachsende Anzahl an Regelungen erreichen zu wollen, und sprach sich für einen neuartigen Ansatz, sich des Themas Sicherheit anzunehmen, aus. Skeptisch sieht er auch die Wirksamkeit von Gesetzen, die keinen Aufschluss über deren praktische Umsetzung enthalten, und vermutet dahinter das Credo: “Was verboten ist, kann auch nicht sein”.
Dass sich die Realität anders darstellt, zeigten die eingangs erwähnten Angriffe, die für großes mediales Aufsehen sorgten. Solche Advanced Persistent Threats (APTs; fortgeschrittene, andauernde Bedrohungen) bezeichnen komplexe und zielgerichtete Angriffe auf "kritische" IT-Infrastrukturen und auf Daten von Behörden und Unternehmen. “Die Prominenz täuscht darüber hinweg, dass weiterhin 80 bis 90 Prozent der Fälle breitbandig sind. Das heißt, es werden Schleppnetze ausgeworfen und es bleibt ein breitbandiges, gesellschaftliches Problem”, erläuterte der Experte und meint weiter: “Nicht jeder von uns ist so wichtig, dass er Ziel eines APT wird, aber APTs sind im Fokus der jetzigen praxisorientierten Forschung und Publikationspraxis.”
Genau dieser Forschung nimmt sich Tanja Zseby von der Technischen Universität Wien (TU) an, wo sie im März dieses Jahres die Stelle als Professorin für Kommunikationsnetze am Institut für Telekommunikation angetreten hat. “Natürlich liegt der mediale Fokus auf den großen Ereignissen, aber jeder kann ein Angriffsziel werden”, führt Zseby gegenüber APA-Science aus. Unzureichend geschützte Laptops und Smartphones könnten beispielsweise von Schadsoftware infiziert werden und so als Teil eines ferngesteuerten Netzwerks (Botnetz) von virtuellen Angreifern bei der Verbreitung von digitalen Schädlingen oder dem massenhaften Versenden unerwünschter E-Mails (Spam) missbraucht werden. Die Wissenschafterin spricht sich dafür aus, dass auch kleine Unternehmen entdeckte Angriffe nicht totschweigen sollten: “Informationsaustausch ist oft unsere beste Verteidigung. Nur wenn wir die Schwachstellen kennen, können wir diese auch bekämpfen.”
Gefahr erkannt, Gefahr gebannt?
Doch nicht jede virtuelle Attacke wird auch zeitnah als solche erkannt. Zseby ist an der TU mit dem Aufbau einer “Communication Networks Gruppe” beschäftigt, deren Forschungsschwerpunkt auf der Netzwerksicherheit liegt. Dabei geht es hauptsächlich um die Erforschung von Methoden zur Erkennung von Angriffen in Kommunikationsnetzen. Da der Netzwerkverkehr sehr dynamisch und schwer vorherzusagen ist, ist es für Forscher schwierig, Modelle für den Normalzustand zu entwickeln. Daher lässt sich auch der Ausnahmezustand im Falle einer Attacke nur schwer erkennen. “Welche Datenströme mit welchen Charakteristiken im Netz zu finden sind, hängt vom Nutzerverhalten, den verwendeten Anwendungen und von den Pfaden ab, die die Datenpakete im Netzwerk nehmen”, erläutert Zseby.
Auffälligkeiten könne man dennoch finden, nur müssten dazu die einzelnen Datenpakete analysiert werden, was auf der einen Seite einen erhöhten Rechenaufwand nach sich zieht und auf der anderen Seite aus datenschutzrechtlichen Gründen nicht wünschenswert sei, beschreibt die Wissenschafterin das Dilemma. Aus diesen Gründen legt sie ihren Fokus auf die Erforschung von Methoden, die ohne diese Analyse auskommen.
Komfort vs. Schutz
“Innovation braucht Offenheit und Transparenz. Sicherheitsmaßnahmen schränken diese häufig ein. Wir müssen Wege finden, Sicherheit zu erreichen ohne grundlegende Werte anzutasten”, antwortet Zseby auf die Frage, wie sicher ein Netzwerk sein könne und wo sie natürliche Grenzen der Absicherung sehe. Es müsse dabei auch nach dem Anwendungsgebiet differenziert werden: “Ihr Netzwerk zuhause hat einen anderen Schutzbedarf als das Kommunikationsnetz einer Industrieanlage.” In einem ersten Schritt sollten Risiken eingeschätzt und in weiterer Folge zwischen Komfort und Schutz abgewogen werden. “Das Kommunikationsnetz eines Kraftwerks physikalisch vom Internet zu trennen ist sicher hinderlich für die Fernwartung, aber in vielen Fällen eine sinnvolle Schutzmaßnahme.”
Kritische Netze
Derzeit ist die Wissenschafterin mit dem Aufbau von zwei Laboren beschäftigt, in denen künftig an den Themen Netzwerksicherheit und speziell Sicherheit in Smart Grids geforscht wird. Die intelligenten Stromnetze nehmen für die Forschungsgruppe eine besondere Stellung ein, da diese zunehmend Kommunikationsnetze zur Übertragung von Sensordaten und Kontrollinformationen benötigen. “Dabei werden hohe Anforderungen an die Netzwerksicherheit gestellt, da Smart Grids als kritische Infrastrukturen eingestuft werden, deren Ausfall verheerende Folgen für eine Gesellschaft haben kann”, beschreibt Zseby.
Genau diesen Schutz betrachtet sie auch als einen der wichtigsten Bereiche der Sicherheitsforschung. Die speziellen Gegebenheiten mancher Kommunikationsnetze stellen zusätzliche Herausforderungen für die Forscher dar: “Häufig stehen dafür nur knappe Ressourcen zur Verfügung, z.B. begrenzte Rechenleistung in Sensoren oder begrenzte Datenraten bei der Nutzung von drahtlosen Netzen. Dies schränkt die möglichen Sicherheitsmaßnahmen stark ein. Durch die Machine-to-Machine Kommunikation ergeben sich zudem neue Kommunikationsmuster. All dies muss bei der Erkennung von Angriffen berücksichtigt werden.” Um diesen unterschiedlichen Anforderungen gerecht zu werden, plädiert Zseby für einen stark interdisziplinär ausgerichteten Zugang: “Im Bereich der intelligenten Stromnetze ist es sehr wichtig, dass Wissenschafter aus den Bereichen Energietechnik und Telekommunikation zusammenarbeiten, um den neuen Herausforderungen zu begegnen.”
Sicherheitslücke Mensch
Angesprochen auf die Rolle des Menschen in der Sicherheitsthematik führt die Wissenschafterin aus: ”Der Mensch ist Ursache vieler Sicherheitsprobleme. Aber nicht nur als Nutzer sondern auch als Entwickler von Software und als Administrator von IT Equipment.” In jedem Bereich würden Fehler gemacht, die zu Sicherheitslücken führen könnten. Aufklärung sei zwar möglich, aber man könne nicht erwarten, dass jeder Nutzer zu einem Sicherheitsexperten würde. Aufgabe der Hersteller sei es, Programme so zu gestalten, dass sie sicher sind und dem Benutzer auch bewusst ist, welchem Risiko er sich aussetzt, wenn eine bestimmte Option gewählt werde.
Außerdem würden Sicherheitsmaßnahmen häufig als hinderlich empfunden. Dies sei mit ein Grund dafür, dass Sicherheitswarnungen allzu leichtfertig ignoriert, WLAN-Router mit dem voreingestellten Passwort in Betrieb genommen und Sicherheitsupdates immer wieder verschoben würden. “Bezüglich der Unterstützung des Nutzers gibt es noch viel zu tun.”
Abschließend gibt die Expertin noch drei Tipps für den täglichen Umgang:
“1. Bleiben Sie misstrauisch. Überlegen Sie bei Öffnen von E-Mails, beim Anklicken von Webseiten oder beim Ausfüllen von Formularen genau, ob diese ggf. gefälscht sein könnten.
2. Nutzen Sie automatische Updates. Es werden täglich neue Sicherheitslücken entdeckt. Halten Sie Ihren Rechner stets auf dem neuesten Stand bei Virenscanner, Betriebssystem und anderen Softwareupdates.
3. Geben Sie nicht zu viele Informationen über sich preis. Überlegen Sie z.B., ob Sie die Informationen, die Sie ins Netz stellen, auch ihrem potenziell größten Feind (den es evtl. noch gar nicht gibt) zur Verfügung stellen würden.”
Von Thomas Altmutter / APA-Science