Die Autoren des Buchs Cyber Attack Information Systems. (v.l.) Helmut Leopold, Florian Skopik und Thomas Bleier.
AIT
Das IT-Sicherheitsgesetzt ist ein erster Schritt in Richtung sichere IKT-Infrastruktur. Davon sind die IT-Experten und Buchautoren Florian Skopik, Thomas Bleier und Helmut Leopold überzeugt. Im Interview erklären sie, warum es aber auch neue Funktionen braucht, mit denen Cyber-Angriffe frühzeitig entdeckt werden können.
Springer für Professionals: Mit dem IT-Sicherheitsgesetz verspricht die Bundesregierung, die gerade selbst Opfer eines umfassenden Cyber-Angriffes geworden ist, Sicherheit für Unternehmen. Das ist doch eine gute Nachricht?
Florian Skopik: Das aktuelle und kommende Bedrohungspotential durch die Vernetzung der Systeme stellt eine grundsätzliche Bedrohung der Gesellschaft und der ganzen Wirtschaft dar. Es ist wichtig zu beachten, dass Gesetze mit einem entsprechenden Maßnahmenpaket für die praktische Umsetzung kombiniert werden müssen. Ein enger Diskurs zwischen allen Akteuren ist eine essentielle Voraussetzung, und eine Gesetzgebung, die Mindeststandards und sonstige notwendige Rahmenbedingungen sicherstellt eine wichtige Grundlage. Allerdings sind in der aktuellen Umsetzung des IT Sicherheitsgesetzes in Deutschland noch viele praktische Fragen unbeantwortet – daher ist es grundlegend wichtig, einen Dialog aller Stakeholder zu etablieren.
Das Ausnutzen von Schwachstellen in IKT-Systemen ist inzwischen ein profitables Geschäftsmodell, schreiben Sie. Das Geschäft mit dem Schutz vor Cyber-Angriffen aber auch. Kann es Angesicht dieser Win-Win-Situation einen wirklich sicheren Schutz geben?
Thomas Bleier: Einen 100%igen Schutz vor Cyber-Angriffen kann es nicht geben – genausowenig wie man sich auch in der „physikalischen“ Welt 100%ig vor allen Gefahren schützen kann. Allerdings sind wir im Bereich der Cybersecurity noch lange nicht soweit, dass alle sinnvoll möglichen Maßnahmen zur Absicherung der IT-Systeme und Reduktion des Risikos vor Cyber-Angriffen ausgenützt sind. Auf der einen Seite steigt die Komplexität unserer gesamten IT-Basis rasant (Vernetzung von Patienten, Autos, IT-Systemen, etc.). Andererseits wird durch diese Vernetzung die wirtschaftliche Attraktivität höher. Doch gleichzeitig wird es immer schwieriger die Systeme sicher zu halten. Also braucht es folgende drei Bausteine:
1) eine Awareness und Bewusstseinsbildung auf breiter Basis
2) moderne Risikomanagement Methoden, um Ressourcen & Aufwand dahin zu lenken, wo sie benötigt werden
3) neue technische Methoden und Werkzeuge, um komplexe IT-Systeme im Griff zu behalten.
Nur auf diese Weise ist ein höchstmöglicher Schutz unserer Systeme erreichbar.
Weitere Artikel zum Thema Cyber-Sicherheit |
Mit dem staatlich geförderten Forschungsprojekt CAIS wurde ein Cyber Attack Information System auf nationaler Ebene etabliert. Mit welcher Zielsetzung?
Helmut Leopold: Durch die wachsenden Bedrohungsszenarien und den vermehrten Einsatz von Informations- und Kommunikationstechnologien in kritischen Infrastrukturen der Gesellschaften haben wir uns im vom BMVIT geförderten KIRAS-Sicherheitsforschungsprojekt CAIS 3 Schwerpunkte gesetzt:
1) Die Entwicklung neuer Methoden, um unvorhersehbare Angriffe identifizieren zu können (Anomalie-Erkennung in Systemen)
2) Neue Ansätze für einen effektiven Informationsaustausch über Angriffe zwischen Unternehmen und staatlichen Organisationen
3) Rechtliche und wirtschaftliche Rahmenbedingungen für den Einsatz solcher Systeme.
Kann das wirklich gelingen? Immerhin steigt mit jedem neuen IP-Anschluss und mit jedem intelligenten Sensorsysteme – vermutlich täglich – auch die Anzahl potenzieller Einfallstore für Cyber-Angriffe.
Thomas Bleier: Die Situation wird mit Sicherheit komplizierter. Deswegen wird es in Zukunft auch immer wichtiger, dass zu proaktiven Schutzsystemen (z.B. Firewall, Virenscanner, etc.) auch reaktive Sicherheitssysteme eingesetzt werden. D.h. auch wenn Angriffe die ersten Schutzmechanismen überwunden haben, sollen sie so früh wie möglich erkannt werden, um Gegenmaßnahmen frühzeitig einzuleiten und negative Auswirkungen zu minimieren.
Das Internet entstand nicht auf Basis „physischer“ Grenzen
Sie sind der Ansicht, dass mit CAIS sich die Widerstandsfähigkeit aktueller vernetzter Systeme stärken und ihre Verfügbarkeit und Vertrauenswürdigkeit erhöhen lassen. Für wie Vertrauenswürdig halten Sie das Gros heutiger IT-Systeme?
Florian Skopik: Neben technischen Methoden sind vor allem Prozesse und Abläufe, aber auch das Bewusstsein im Umgang mit Daten und IT-Systemen enorm wichtig. Hier haben wir als Gesellschaft einen gemeinsamen Aufholbedarf, das Bewusstsein bei privaten Benutzern bis hin zum Management in der Wirtschaft zu steigern. So sind sich Experten auf der ganzen Welt beispielsweise über das etablierte Phänomen der Verständniskluft zwischen IT Experten und leitendem Management einig. Der Mensch muss als essentielle Schwachstelle berücksichtigt werden. Abgesehen davon sind heutige Systeme gut aufgestellt, aber in Zukunft wird Ihre Kontrolle enorm kompliziert. Ich gehe davon aus, dass alle Unternehmen einen enormen Aufwand betreiben, ihre IT zuverlässig zu gestalten.
Zahlreiche Cyber-Angriffe lassen sich heute einigen wenigen Staaten zuordnen. Wäre es da nicht klug, eine Art virtuelle Grenzkontrolle einzuführen?
Helmut Leopold: Ich denke, das ist nicht so sehr eine technische, aber viel mehr eine ethische Frage. Eine solche Grenzkontrolle widerspricht den Gedanken des freien Informationsaustausches. Ich denke, dass eine solche Maßnahme die falsche wäre, mit Cyber Angriffen umzugehen. Auch wäre sie nicht so einfach umzusetzen – während im Bereich der „physischen“ Welt die Trennung zwischen den einzelnen Staaten mehr oder weniger klar geregelt ist, entstand das Internet nicht auf Basis „physischer“ Grenzen – Systeme unterschiedlicher Organisationen sind derzeit ohne Rücksicht auf staatliche Grenzen miteinander vernetzt, hier eine „Grenzkontrolle“ einführen zu wollen käme einer kompletten Neustrukturierung des Internet gleich, was allen bisherigen Prinzipien der Internet-Entwicklung wiedersprechen würde.
Ich vermute einmal, dass viele Angriffe ihren Ursprung bei E-Mails, USB-Sticks et cetera haben. Wie hoch aber ist das Risiko, dass ein Cyber-Angriff über manipulierte Hardware erfolgt – etwa über Grafikkarten aus Asien oder Router aus Amerika?
Thomas Bleier: Ihr angesprochenes Bedrohungspotential ist real. Und ein modernes Risikomanagement eines Unternehmens wird sich der Wichtigkeit seiner Daten bewusst sein und entsprechende Maßnahmen treffen. Aber genau hier setzt unser CAIS Ansatz an - anstatt jeden System-Teil im vornherein zu analysieren oder sogar selbst bauen zu müssen, entwickeln wir Methoden, durch die wir abnormales Verhalten erkennen und auf diese Weise sogar gegen solche Bedrohungen Gegenmaßnahmen treffen können.