„Eine Cyberattacke geschieht nicht spontan, sondern ist von langer Hand vorbereitet“
Gezielte Angriffe auf die IT-Infrastruktur von öffentlichen Einrichtungen, Unternehmen oder von ganzen Staaten werden von der Forschung häufig als so genannte „Advanced persistent threats“ bewertet. Sie bedienen sich verschiedenster Techniken, unter anderem auch des Social Engineerings, und werden über lange Zeit vorbereitet. IT-Sicherheitsexperte Stefan Rass arbeitet an Unterstützungshilfen, die es einfacher machen sollen, sich für Sicherheitsmaßnahmen zu entscheiden.
„Meist ist es ein Attachment mit einem Mail, mit dem ein Trojaner auf den Rechner kommt“, erklärt Stefan Rass. Dann passiert lange nichts. Wenn dann Wochen oder Monate später doch die Auswirkungen einer Cyberattacke sichtbar werden, bringt man dies häufig nicht mehr mit dem Mail in Verbindung. Alles, was man für einen Angriff auf IT-Infrastruktur braucht, könne man im Darknet kaufen: „Die Supply Chain läuft dort gut. So kann auch jeder zum Angreifer werden; man braucht dafür kaum selbst technische Kenntnisse.“ Doch auch im militärischen Sinne kommen verstärkt Cyberangriffe vor: So können einige der bekannt gewordenen Angriffe auf große Infrastrukturen wie dem Stromnetz in der Ukraine militärischen Hackergruppen zugeordnet werden.
Für öffentliche Einrichtungen und Unternehmen werde es daher immer wichtiger, das Risikomanagement zu verbessern. Vorfälle wie die jüngsten Großangriffe in den vergangenen Tagen erhöhen die Awareness für das Thema, „grundsichtlich gilt aber: IT-Sicherheit bringt in der Regel kein Return of Investment. Manchmal verlangsamt und verkompliziert sie auch. Security-Investments erzeugen keinen Gewinn, sondern verhindern Verluste.“
Das IT-Sicherheitsteam rund um Stefan Rass arbeitet derzeit an Modellen, die eine Entscheidungsfindung für solche Einrichtungen erleichtern soll. Zu Fragen wie „Welche technischen Einheiten sind gefährdet?“, „Welche Sicherheitsmaßnahmen baut man ein?“ oder „Wie wahrscheinlich ist ein Angriff?“ soll eine computergestützte Methode eine Entscheidungsempfehlung erarbeiten. Basis dafür sind statistische Daten, die Methode beruht auf der Spieltheorie.