Standort: science.ORF.at / Meldung: "Mistkübel-Hacker als Sicherheitsproblem"

Umgestürzter Papierkorb

Mistkübel-Hacker als Sicherheitsproblem

"Das größte Risiko ist immer noch der Mensch", fasste der Softwareentwickler Amir Hassan eine Expertendiskussion über Internetsicherheit am Mittwoch zusammen. Wer die Vorteile des Internets nutzen möchte, müsse auch Verantwortung tragen, waren sich die Experten einig.

VIREN, BOTNETS & CO. 19.05.2011

Im Rahmen einer Diskussionsveranstaltung der Internet Service Provider Austria (ISPA) wurde über mögliche Gefahren und den Schutz für das Internet diskutiert. Dabei wurde schnell klar: "Sicherheit ist eine Illusion, man muss immer Risiken abschätzen", so Hassan. IT-Infrastruktur, die für den Zugang zu Systemen gedacht sei, könne einfach nicht vollständig abgeschottet werden.

Allerdings sei die immer wieder skizzierte Bedrohung durch Angreifer auf die Technik weitaus geringer als die Gefahr, die von den Nutzern selbst ausgehe, sagte Robert Schischka, Leiter des heimischen Computer Emergency Response Teams CERT.at: "Am besten funktioniert Social Engineering." Daher seien die wichtigsten Maßnahmen für die Internetsicherheit: "Hirn einschalten, gesundes Misstrauen und das Equipment auf dem aktuellen Stand halten", etwa Software-Updates.

Beziehungen als Schwachstelle

Als Grundlage für Social Engineering, also das Ausnutzen des Users als meist schwächstes Glied in der Sicherheitskette, dient laut Hassan ein wichtiges Security-Grundprinzip: Vertrauen. "Freunde und Bekannte werden üblicherweise als sicher empfunden." Um sich als Angreifer zum Beispiel Ministeriumsunterlagen zu verschaffen, würde er die Bekanntschaft eines Mitarbeiters suchen, der genug Wissen über die nötigen Zugänge habe, aber in der Hierarchie niedrig genug stehe. Dann gelte es dessen Verhaltensregeln auszuforschen: "Die wichtigste lautet: Jeder schmeißt einmal was weg."

Über den Abfall erfahre man viel über die Zielperson und ihre Freunde, aber womöglich auch bereits Infos aus dem Ministerium. Der nächste Schritt bestehe dann darin, sich etwa für ein Projekt zu bewerben, damit erhalte man Zugang zum Gebäude. Dort könne man dann einen manipulierten USB-Stick oder eine "1001-Tetris-CD" fallen lassen, die, sobald eingelegt, beziehungsweise angesteckt, den jeweiligen PC und womöglich das ganze System infizieren. Und schon hat man Zugang.

"Datenträger" Mensch

Tatsächlich gelangen rund 90 Prozent der ungewollt verbreiteten Informationen aus den heimischen Ministerien über den "Datenträger" Mensch hinaus, schätzt Roland Ledinger, Leiter der IKT-Strategie des Bundes im Bundeskanzleramt: "Wenn Verträge oder Unterlagen außerhalb des Ministeriums auftauchen, dann gelangten sie meist ausgedruckt auf Papier aus dem Haus und wurden dann wieder eingescannt."

Ledinger sprach sich gegen eine zentrale Steuerungsstelle etwa in Form eines Kill Switch aus. "Es ist nicht Ziel des Staates, das Internet zentral abzudrehen", um etwa Bedrohungen auszuweichen. Es gehe vielmehr darum, die Verantwortung so zu verteilen, dass es etwa diesen zentralen Knopf nicht geben könne.

Mehr Wissen und Aufklärung

Einig waren sich die Diskutanten darüber, dass das Internet aus dem Alltag nicht mehr wegzudenken sei, egal ob bei Firmen oder Privatpersonen. Allerdings stehe es in zahlreichen Firmen ebenfalls schlecht um die IT-Sicherheit, vor allem der Mittelstand habe kaum bis keine Pläne dazu, so Sabine Fleischmann, Beraterin und ehemalige Geschäftsführerin von Sun Microsystems Österreich.

Große Firmen hätten zwar schon früh angefangen, ihre Daten zu schützen, würden aber dafür kaum in das Wissen ihrer Mitarbeiter investieren. Wenn man Menschen nicht die Gelegenheit biete, in Sachen Sicherheit dazuzulernen, nütze auch Hirn einschalten nichts. Das gelte wiederum sowohl für Firmen als auch private Nutzer. "Das einzige, was funktioniert, ist Aufklärung darüber, dass es dabei um kritische Infrastruktur geht", so Fleischmann. In Naturschutzgebieten würde auch kaum jemand das Wasser verschmutzen, wenn er wisse, dass es wichtig sei. Angesprochen auf die Verantwortung der Politik bei der Bildung der Bevölkerung meinte Ledinger: "Awareness ist nicht sexy."

Immer mehr Begehrlichkeiten

"Wenn ich Auto fahre, verlangt auch keiner von mir, dass ich Mechaniker bin", versuchte Schischka den Anspruch zu relativieren. Er selbst komme aber auch ins Grübeln, wenn "Leute wissen, dass ihr PC infiziert ist, und nichts dagegen tun. Wer die Vorteile des Internets nutzen will, muss auch Verantwortung tragen." Er finde die Grundidee einer gezielten Verfolgung von Botnetzen, wie sie etwa in Deutschland praktiziert wird, nicht schlecht, schränkte aber ein: "ich weiß auch, dass das gleich Begehrlichkeiten weckt".

Peter Rastl, Österreichs "Vater des Internets", gab aus den Zuhörerreihen zu bedenken, dass die Leute einerseits viele Dinge freiwillig ins Internet stellten, wie auf Facebook, auf der anderen Seite aber auch die Datensammelwut von Firmen und Staaten, wie bei der Vorratsdatenspeicherung, enorm gestiegen sei. Hier rief er die Europäische Agentur für Netzwerk- und Informationsssicherheit ENISA auf, mehr für die Bildung der EU-Politiker zu tun, damit diese verstünden, dass etwa Vorratsdatenspeicherung keine Probleme löse, sondern sie vielmehr schaffe.

Internationale Kooperation notwendig

Cyber Europe 2010

Bei der Sicherheitsübung Cyber Europe 2010 etwa wurde getestet, wer anzurufen ist, wenn ein Land angegriffen wird - und wie man erkennt, welche politische Macht der Mensch am anderen Ende der Leitung tatsächlich hat. "Wir haben dabei viel gelernt", so Purser.

"Vertrauen sie mir, dass wir versuchen, es besser zu machen", erwiderte Steve Purser, technischer Leiter von ENISA. In seinem Impulsreferat zu Beginn der Diskussion hatte Purser auf eine stärkere Vernetzung und Erfahrungsaustausch der EU-Länder gepocht. Der größte Erfolg der ENISA ist laut Purser, dass bei der ersten europaweiten Internetsicherheitsübung überhaupt alle 27 EU-Staaten teilgenommen haben. "Es ist nicht immer einfach", gab sich Purser nicht nur in Bezug auf die politische Diskussion rund um Sicherheit mehr als diplomatisch.

In einem Pressegespräch vor der Veranstaltung sagte Purser, dass Sicherheit kein nationales, sondern weltweites Thema sei, für das keine Grenzen gelten. Daher seien auch Dialog, politische Kooperation und ein internationaler Aktionsplan so wichtig. Vorschreiben kann die ENISA den EU-Staaten nichts, laut Purser wird alleine über den konstanten Dialog versucht, dass die Staaten ihre Maßnahmen zumindest kompatibel umsetzen und miteinander kooperieren.

Die Probleme mit Gesetzen zu lösen, sei im IT-Bereich schwierig, denn kaum sei ein Gesetz beschlossen, werde es von der technischen Entwicklung schon wieder überholt. Viel wichtiger sei es schnell zu reagieren. "Flexibilität und Skalierbarkeit ist wichtig in der Sicherheit", so Purser. Er hofft, dass einerseits die Firmen, aber auch die privaten Nutzer mit der IT leben lernen, damit etwa Botnets nicht mehr aufgebaut werden könnten. Purser rechnet aber damit, dass das noch sehr lange dauern werde.

Nadja Igler, ORF.at