Cyberkriminalität | Foto: Peters/Fotolia.com

Cyberkriminalität: „Menschliches Verhalten ist das größte Sicherheitsrisiko.“

Die IT-Sicherheitsexperten Stefan Rass, Peter Schartner und Stefan Schauer erklären im Gespräch mit ad astra, warum auch Ihr Computer für Hackerangriffe interessant sein kann und warum es mehr Awareness für Cybersecurity braucht.

Im Kampf derjenigen, die hacken, auf der einen Seite und der um Sicherheit bemühten Kräfte auf der anderen Seite: Wer liegt gerade vorne?
Rass: Ich habe schon Kollegen sagen hören: „Es gibt zwei Arten von Firmen. Die, die gehackt worden sind, und die, die es noch nicht mitbekommen haben.“ Die Gefahr eines solchen Angriffs ist sehr groß, man kann aber nicht pauschal sagen, wer gerade vorne liegt. Es gibt immer wieder Angriffe und es gibt Gegenmaßnahmen. Das ist ein wechselseitiges Sich-Überholen.

Ist es Ihre Aufgabe, eher reaktiv zu arbeiten, oder kann man sich auch präventiv schützen?
Schauer: Es ist schwer, die Intention von Hackern abzuschätzen. Es gibt viele Hobbyhacker, denen es nur darum geht zu zeigen, was sie können. Und es gibt großangelegte, bestens geplante und durchdachte Attacken, die bestimmte Ziele verfolgen. Auf diese Absichten muss man auch bei der Planung von Sicherheitsmaßnahmen Rücksicht nehmen.
Schartner: Besonders interessant für Angriffe ist alles, was online geht. Früher waren beispielsweise Industrieanlagen autark, heute sind die vernetzt. Das bringt auf der einen Seite viele Vorteile, andererseits aber auch ein riesiges Potenzial für Cyberkriminalität. Besonders in diesen Bereichen ist präventiver Schutz sinnvoll. Rass: Solche Industrieanlagen wurden in der Vergangenheit bereits von Hackern angegriffen und manipuliert. Der Stuxnet- Wurm ist ein Beispiel hierfür.

Seit wann gibt es die Cyberkriminalität?
Rass: Seit es Computer gibt. Die Notwendigkeit, für Sicherheit in Computern und in Netzwerken von Computern zu sorgen, ist schon sehr früh erkannt worden. Die Innovation ging aber häufig auf Kosten der Sicherheit: Man will vieles einfacher und schneller anbieten, dabei können die Systeme aber auch unsicher werden. Viel musste man mühsam wieder zurückbauen, weil die Gefahren ursprünglich unterschätzt wurden. Der Begriff der Cyberkriminalität existiert erst seit ein paar Jahren.

Insbesondere der Wert der eigenen Daten wird von vielen noch unter-schätzt, dabei gelten Daten doch als „das Öl unseres Jahrhunderts“. Würden Sie dieser Definition zustimmen?
Schartner: Ja, das trifft es sehr. Und der Rohstoff wird stärker denn je abgebaut.
Rass: In dem Bereich argumentieren viele, dass die eigenen Daten für Außenstehende ja völlig uninteressant seien und ein „Einbruch“ auf dem privaten Rechner mehr oder weniger irrelevant sei. Ich argumentiere dagegen, dass die Daten vielleicht nicht interessant sind, sehr wohl aber die Identität des privaten Rechners, der zum Ausgangspunkt für kriminelle Aktivitäten werden kann. Identitätsdiebstahl ist in diesem Zusammenhang eine große Gefahr.
Schauer: Viele Menschen unterschätzen diese Gefahr aber, weil ihnen auch nicht bewusst ist, was auf diese Weise passieren kann. Schon wenn das eigene WLAN nicht ausreichend gesichert ist und jemand unbemerkt mitsurft, kann man das als Identitätsdiebstahl sehen und es können einem dadurch online kriminelle Aktivitäten in die Schuhe geschoben werden.

Wie gehen Sie selbst damit um?
Schartner: Bei mir zuhause kenne nur ich das WLAN-Passwort. Wenn also jemand zu Besuch kommt und schnell ins WLAN will, ich aber nicht da bin, ist das nicht möglich. In dem Zusammenhang ist es dann wichtig, dass man erklärt, warum das nicht geht. Da leiste ich viel Bewusstseinsbildung im Privaten.

Ist es eine Lösung, überhaupt kein WLAN zu haben?
Schauer: Ja. Die Frage ist aber, wie viel Komfort man haben möchte. Wie schon erläutert: Vieles ist mit den technologischen Innovationen einfacher und bequemer geworden. Dabei muss man entweder Abstriche bei der Sicherheit machen oder in die eigene Sicherheit investieren. Bei dem privaten WLAN wäre schon eine Änderung des Standardpassworts so eine kleine Investition.

IT-Sicherheit macht also Aufwand.
Rass: Ja. Sicherheit bedingt, dass man Zusatzaufwand betreiben muss. Entweder kostet sie Zeit, weil der Computer im Hintergrund beispielsweise etwas verschlüsseln muss und dadurch das System langsamer wird. Oder es kostet Aufwand, weil man selbst etwas tun muss, um die eigene Sicherheit zu erhöhen. Die NutzerInnen tendieren bisweilen dazu, Workarounds zu entwickeln oder auf bestimmte Funktionen zu verzichten.
Schartner: Das ist das Kernproblem der IT-Sicherheit: Wenn sie funktioniert, merkt man das idealerweise gar nicht. Schmerzhaft ist es erst, wenn sie nicht funktioniert. Aus der Logik vieler Auftraggeber heraus lässt sich argumentieren: Solange alles gut geht, habe ich keinen spürbaren positiven Nutzen, aber spürbare Kosten. Das macht die Sache undankbar.

Wo gewinnen Ihre Auftraggeber die Awareness für das Thema?
Schauer: Medial transportierte Fälle, die viel besprochen werden, wie Edward Snowden, schaffen viel Awareness rund um den Themenkomplex. In Klagenfurt bündeln wir die Kompetenzen von AIT und Universität, um vielfältige Angebote in dem Bereich zu schaffen und kooperativ an neuen Konzepten zu forschen. Uns geht es weniger um Standard-Firewalls und Virenschutz, sondern mehr um komplexere Schritte wie APTs. Die so genannten „advanced persistent threats“ sind im Gegensatz zum normalen Hackangriff sehr komplex. In dem Bereich gibt es unterschiedliche Ansätze, wie man zusätzlich zu bestehenden Hilfsmitteln entgegenwirken kann.

Was zeichnet solche Angriffe aus?
Rass: Man kann sie wohl mit den Schläfern im Terrorismus vergleichen: Die Angriffe sind lange vorbereitet und der Angreifer schleicht sich in ein System ein, bevor er zuschlägt. Bei der Cybersecurity ist es ähnlich: Zu Beginn greift man wenig invasiv in das System ein und bleibt stets unter dem Radar der Sicherheitsmechanismen, um schließlich umfassend anzugreifen.

Welche Ziele sind besonders attraktiv?
Schauer: Beispielsweise in der großangelegten Industriespionage kommen solche Angriffe vor. Viele werden leider erst entdeckt, wenn es zu spät ist. Grundsätzlich ist es aber so, dass es keinen hundertprozentigen Schutz vor solchen Attacken geben kann: Man kann aber sehr gute technische Lösungen bauen und sich alle Mühe beim Identifizieren von bestmöglichen Maßnahmen geben.

Gibt es einen Punkt in Ihrer Forschung, von dem Sie sagen würden, dass er eine Blackbox darstellt?
Schartner: Ja, das ist für mich der Mensch, also die Person, die am Rechner sitzt. Ihr Verhalten ist in Wahrheit das größte Sicherheitsrisiko.
Rass: Dem kann ich nur zustimmen. Es gibt den Begriff des Social Engineering: In vielen Fällen ist es gar nicht notwendig, technische Sicherheitsvorkehrungen zu überwinden oder gar einen Code zu knacken. Es ist viel einfacher, Passwörter auf andere Art herauszufinden. Bestechung, Erpressung und Manipulation kommen dabei zum Einsatz. Viele dieser Techniken nutzen psychologische und soziale Mechanismen aus. Vielfach muss man nur jemanden einhundert Euro für den Inhalt eines Papierkorbs zustecken oder auf Plattformen wie Facebook nach leicht zu manipulierenden Opfern Ausschau halten. Auch das lässt sich zum Teil bereits automatisiert durchführen.

Wie verdienen Hacker damit Geld?
Rass: Viele Geheimdienste und Industriekonzerne beschäftigen selbst Hacker, um ihre eigenen Systeme zu prüfen oder um andere zu beobachten. Das Spektrum ist sehr breit. Es gibt aber auch einen florierenden Schwarzmarkt für Security- Hacks. Dort kann man Sicherheitslücken zum Kauf anbieten; auch die betroffenen Firmen bezahlen häufig dafür. Am Schwarzmarkt selbst sind aber auch die Geheimdienste oft Käufer von Informationen.

Wo begegnet sich dieser Schwarzmarkt?
Schartner: Im Internet. In Subnetzen, die man so nicht sieht. Wenn man nicht die richtigen Personen und Begriffe kennt, kommt man dort nicht hin. Wie in der Offline-Gesellschaft gibt es hier eigene Szenen.

Ihre Angebote bieten Sie dort aber nicht an?
Schauer: Nein, das Geschäftsfeld liegt immer mehr in der Wirtschaft und im öffentlichen Sektor. Die EU legt im Rahmen von Horizon 2020 sehr starken Wert auf Security-Aspekte und setzt damit ein wichtiges Zeichen. Im Gegensatz zu dieser steigenden Aufgeschlossenheit gegenüber Sicherheitsthemen nehme ich die Awareness im privaten Umfeld aber noch als verschwindend gering wahr.

Ist es für Privatpersonen überhaupt möglich, einen sicheren Umgang mit den eigenen Daten zu finden?
Schartner: Wenn jemand einbrechen will, schafft er das auch. Man kann trotzdem mit relativ wenig Aufwand – mit Verhaltensänderung und kostengünstiger Software – einen guten Schutz aufbauen. Die Lage ist also nicht aussichtlos.

Was wäre das Minimalprogramm?
Rass: Einen Virenschutz und eine Firewall einzurichten, ein aktuelles Betriebssystem zu nutzen und vorsichtig zu sein, welche Daten man ins Internet gibt. Und man sollte sich einigermaßen sichere Passwörter suchen, die auch nicht bei allen Diensten gleich sind: Also keine Variation des Namens mit dem Geburtsdatum. Auch „Susi“, „passwort“ oder „1234“ sind keine guten Passwörter.

Was machen Sie in Ihrer alltäglichen Forschungsarbeit?
Rass: Wir arbeiten an Methoden und Werkzeugen, mit denen man sich schützen kann. Konkret arbeiten wir derzeit gemeinsam mit dem AIT daran, wie man Risiko bewerten, in den Griff bekommen und verringern kann. Wir schaffen auf dieser Ebene also Hilfsmittel.
Schartner: In anderen Fällen analysieren wir bestehende Systeme und machen Vorschläge, welche Sicherheitsmaßnahadmen vernünftigerweise zum Einsatz kommen könnten. Aufgrund von bekannten Schwachstellen können wir darauf hinweisen.

Wie geheim sind Ihre Erkenntnisse?
Schartner: Vertrauen ist unser Geschäft: Wir nehmen Einblick in Systeme und sind daher häufig vertraglich zu Vertraulichkeit verpflichtet. Wenn wir aber an neuen Sicherheitsmethoden arbeiten, können wir diese auch im Entwicklungsstadium in der Scientific Community vorstellen, da diese uns dabei unterstützt, sie auch weiterzuentwickeln.

für ad astra: Romy Müller

Zu den Personen

Stefan Rass (mitte) und Peter Schartner (rechts)  sind assoziierte Professoren am Institut für Angewandte Informatik. Sie haben schon in zahlreichen Projekten mit dem AIT Austrian Institute of Technology, unter anderem mit Stefan Schauer (links), zusammengearbeitet und gemeinsam mit diesem Technologieunternehmen eine Expertengruppe zu IT-Sicherheit in Klagenfurt aufgebaut. Stefan Rass ist derzeit eingeladen, seine Expertise in die Entwicklung von EU-Nachfolgeprogrammen von Horizon 2020 einzubringen.

IT-Expertengruppe | Foto: aau/Barbara Maier