Gastbeitrag von Oliver Schonschek, Technology Analyst und Journalist
Man hätte kaum einen besseren Veranstaltungsort wählen können als das Phantasialand Brühl: Die ISD 2016 haben deutlich gemacht, dass Security so aufregend ist wie eine Achterbahnfahrt. Achterbahnen sind zudem ein gutes Beispiel dafür, wie wichtig durchdachte Sicherheit ist. Nicht zuletzt erinnert der Name Phantasialand daran, wie kreativ die Angreifer sind und die Methoden zur Erkennung und Abwehr sein müssen.
Neuer Stellenwert für Security
Zur richtigen Erkennung und Abwehr gehört, dass Security einen anderen Stellenwert in Unternehmen bekommen muss. „So wie wir jahrelang darum gekämpft haben, dass IT endlich als existenzielles Betriebsmittel ernst genommen wird, ist es dringend an der Zeit, auch der IT-Sicherheit einen solchen Stellenwert einzuräumen“, so der eco Vorstandsvorsitzende Prof. Michael Rotert in seiner Eröffnungsrede bei den Internet Security Days.
Auch Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz, sah in seinem Vortrag „Spionage und Terrorismus im Cyberraum“ deutlichen Handlungsbedarf für die Security. Es dürfe nicht sein, dass die deutsche Wirtschaft in der Champions League „spielt“, aber das IT-Sicherheitsmanagement auf dem Niveau der Kreisliga verbleibt. Dr. Matthias Rosche, SVP bei T-Systems, gab die Empfehlung, Security stärker als Enabler zu sehen. Wie beim Autofahren gilt auch in der digitalen Wirtschaft: „ Wer schneller fahren möchte, braucht mehr Sicherheit!“.
(Un-)Sicherheit sichtbar machen
Neben der Aufdeckung von Cyber-Angriffen und der Absicherung digitaler Identitäten stand am ersten Konferenztag das Internet der Dinge im Fokus der Vorträge und Diskussionen. Besonders zu erwähnen ist dabei das vorgestellte Projekt RiskViz. In dem vom BMBF geförderten Projekt geht es um die Darstellung des Risikolagebildes der industriellen IT-Sicherheit in Deutschland. Basis hierfür sind Internet-Scans, die nach industriellen IT-Systemen suchen und auf unsichere Lösungen und Versionen aufmerksam machen. In dem Projekt wird eine auch für Nicht-Techniker zugängliche Suchmaschine zur Erstellung eines aktuellen IT-Lagebilds verfügbar gemacht.
Der Vortrag „Denken wie ein Hacker“ von Peter Feil, Bechtle GmbH, zeigte anschaulich an verschiedenen Beispielen, wie Penetrationstester arbeiten und wie häufig sie leichtes Spiel haben. Selbst seit langem bekannte Schwachstellen und Angriffsmethoden sind auch heute noch sehr erfolgreich, was echte Angreifer für sich zu nutzen wissen.
Datenschutz auch bei IT-Sicherheitslösungen
Auf großes Interesse stieß ein Vortrag der AV Test GmbH über Datenschutzerklärungen namhafter AV-Produkte. Um ihre Funktionen zu erfüllen, benötigen IT-Sicherheitslösungen umfangreichen Zugriff auf das System, darunter können auch private Daten der Nutzer sein. Entscheidend ist, dass diese Zugriffsrechte nur genutzt werden, um mögliche Bedrohungen zu erkennen und abzuwehren. Erste Ergebnisse der Untersuchung von AV Test legen den Schluss nahe, dass einige Anbieter von AV-Software bei ihren Datenschutzerklärungen nacharbeiten müssen. Detaillierte Ergebnisse wird AV Test noch veröffentlichen.
Hinter den Kulissen von Cyber-Attacken
Am zweiten Konferenztag der ISD 2016 wurde der Blick auf Security erneut geschärft. Volker Kozok, Cyber-Experte bei der Bundeswehr, brachte mehr Licht in das Darknet und stellte an eindrücklichen Beispielen dar, was alles im Darknet passiert, von Menschen- und Drogenhandel bis hin zur Bestellung von Auftragskillern. Er zeigte aber auch, wie Ermittlungsbehörden versuchen, den Tätern im Darknet habhaft zu werden.
Eines der häufig diskutierten Themen war natürlich auch Ransomware. Es wurde berichtet, wie sich Ransomware-Attacken entwickelt haben, bis hin zum Auftragsdienst Ransomware as a Service. Ein Fazit war, dass die Online-Erpressungen immer gezielter erfolgen und nicht nur Daten durch die Verschlüsselung unzugänglich machen. Sie können durch die Verschlüsselung der Daten ganze Prozesse zum Stehen bringen, da die notwendigen Daten nicht mehr im erforderlichen Format verfügbar sind. Dies kann ernste Konsequenzen für Industrieunternehmen haben, aber auch im Gesundheitswesen, um nur zwei bedrohte Bereiche zu nennen.
Eine weitere Bedrohung, die ausführlich behandelt wurde, waren DDoS-Attacken. Vorgestellt wurden zwei generelle Verfahren zur Abwehr: Die gezielte Untersuchung des Datenverkehrs, um legitime Serveranfragen von den bösartigen „Anfragen“ zu unterscheiden, die das Ziel haben, die Server zu überlasten. Ein weiteres Verfahren ist Blackholing, das verschiedene Internetaustauschknoten anbieten. Dabei wird der gesamte Datenverkehr, der an den attackierten Empfänger geht, verworfen. Dies ist insbesondere dann wichtig, wenn die Last der DDoS-Attacke so groß ist, dass andere Abwehrverfahren „überrannt“ werden könnten.
Komplexität als Feind der Sicherheit
Den Abschluss der Internet Security Days 2016 bildete die Keynote von Mikko Hypponen. Sein Vortrag machte deutlich, warum man die Komplexität als Feind der Security ansehen muss: Einerseits führen die immer komplexeren IT-Lösungen dazu, dass es immer mehr Fehler und Schwachstellen in der IT gibt, die Angreifer ausnutzen können. Andererseits erhöht die Komplexität das Risiko, dass wir Nutzer gefährliche Fehler machen, die sich durch Human Hacking und Social Engineering ausnutzen lassen. Gerade die „Schwachstelle Mensch“ ist gefährlich, denn für uns gibt es keine Patches, wie der IT-Sicherheitsexperte betonte.
Neue Sichten auf Security lieferte Mikko Hypponen mit zahlreichen Beispielen, darunter die Antwort auf die Frage, warum Ransomware auch eine Bedrohung für Privatnutzer ist. So sind die privaten Daten einer Familie wie z.B. die Urlaubsfotos zwar für den Angreifer nicht wertvoll, wohl aber für die betroffene Familie, die deshalb auf die Online-Erpressung eingehen wird. Ein weiteres Beispiel für neue Einsichten ist die Bedrohung durch das unsichere Internet der Dinge im Privathaushalt. Vernetzte Glühbirnen scheinen kein lohnendes Angriffsziel zu sein, denn was passiert schon, wenn Glühbirnen im Privathaushalt ausfallen. In Wirklichkeit aber dienen Angriffe auf solch unscheinbare vernetzte Dinge als Hintertür in das private Netzwerk, in dem sich sehr wohl lohnende Daten befinden können.
Mein Fazit: Die Internet Security Days 2016 haben dazu beigetragen, dass die Teilnehmerinnen und Teilnehmer eine bessere Sicht auf Security bekommen, ohne die es nicht möglich ist, das IT-Sicherheitsmanagement aus der Kreisliga aufsteigen zu lassen, um nochmals an den Vortrag des Vizepräsidenten des Bundesamtes für Verfassungsschutz anzuknüpfen. Kein Unternehmen sollte mit seinen Daten ungeschützt „Achterbahn fahren“, leider ist dies gegenwärtig häufig der Fall.
Kategorien