Herr Prof. Pohlmann, mit jedem Schritt in Richtung Digitalisierung, so positiv er auch sein mag, steigen die Risiken und die Einfallstore für Cyberattacken werden größer. Wie steht es wirklich um die IT-Sicherheit in Deutschland?
Es stimmt leider: Die Probleme werden jedes Jahr größer. Ich habe noch kein Jahr erlebt, in dem der monetäre Schaden rückläufig gewesen wäre, obwohl viele wichtige IT-Sicherheitsmechanismen entwickelt haben. Daraus lässt sich zwangsläufig der Rückschluss ziehen, dass alles, was wir an IT-Technologie nutzen, nicht sicher genug ist. Das liegt auch an der ursprünglichen Konzeption von Software, die nie auf eine hundertprozentige Sicherheit ausgerichtet war. Und diese Auswirkungen sind heute noch zu spüren. Es ist ein Basisproblem, das mit der zunehmenden Komplexität technologischer Anwendungen exponentiell wächst.
Haben wir denn eine Chance, dieser Lage noch Herr zu werden?
Kriminelle Organisationen sind mit ihren Cyberattacken extrem erfolgreich, verdienen also sehr viel Geld mit den Angriffen, was sie klug in neue Angriffe „re-investieren“. Das heißt, Cyberkriminalität wird ebenfalls zunehmend komplexer und intelligenter. Erschwerend hinzu kommt die Tatsache, dass durch die flächendeckende Digitalisierung die potenzielle Angriffsfläche gleichzeitig immer größer wird, weil immer mehr Werte digital zur Verfügung stehen. Wer sich die Bitkom-Studie zum Lagebericht der IT-Sicherheit – die alle zwei Jahre aufgelegt wird – anschaut, sieht, dass die Schadenssummen kontinuierlich steigen. Um ihre Frage also zu beantworten: Nein, wir müssen derzeit mit dem Wettrüsten leben.
Welche Standards muss ich als Unternehmen dann setzen, welche Ziele sind realistisch, wenn es eine hundertprozentige IT-Sicherheit nicht gibt?
Ich muss alles tun, um die vorhandenen Risiken durch Vermeiden und Entgegenwirken zu minimieren. Dafür ist es essenziell zu wissen, wo die Werte eines Unternehmens liegen, was erschreckenderweise die wenigsten tatsächlich wissen. Letztendlich sind es vielleicht fünf Prozent der Daten, die wirklich wichtig und schützenswert sind. Habe ich die identifiziert, kann ich sie gezielt sichern. Ein weiterer Aspekt der Vermeidung ist, die Angriffsfläche möglichst klein zu halten. Wer sich bei Smartphones und PCs nur auf die Dinge konzentriert, die für die Arbeit wirklich wichtig sind und alle überflüssigen Anwendungen löscht, minimiert das Risiko. Außerdem muss bei den Mitarbeitern „Awareness“ geschaffen werden für Risiken, Fallen und die Einfallvektoren. Und zusätzlich benötige ich im Rahmen der Strategie natürlich die klassischen IT-Sicherheitsmechanismen wie Verschlüsselung und Authentifikation, um Angriffen entgegenzuwirken und damit das Risiko zu minimieren.
Wie kann mit den Restrisiken umgegangen werden?
Idealerweise habe ich dafür Sensoren, die einen Angriff erkennen. Wenn sich die Attacken schon nicht verhindern lassen, möchte ich zumindest wissen, wann und wo ich angegriffen werde, um entsprechend schnell reagieren zu können – vielleicht sogar automatisiert mittels einer KI. Als Teil der Reaktionsstrategie müssen hier klare Verantwortlichkeiten definiert und ein Notfallplan erstellt werden.
Ist es immer noch der „Fehler“ Mensch, der Angriffe durch einen unbedachten Klick ermöglicht?
Die Angreifer bereiten sich in der Regel gut und lange mit Analysen vor: Welche Unternehmen greifen sie an, was ist über deren Mitarbeiter in den sozialen Netzwerken an Informationen verfügbar und wie sind die Umsätze des Unternehmens – wichtig für die „Lösegeldsumme“. Unbedacht sind die Angriffe in der Regel nicht, sondern von langer Hand professionell geplant und vorbereitet. Dass Angreifer diese Möglichkeiten haben, liegt auch daran, dass noch zu viele Schwachstellen vorhanden sind und zudem die IT-Sicherheitsmechanismen nicht so verbreitet sind, wie sie es sein es könnten und sollten.
Was könnten und sollten Unternehmen denn noch tun?
Es ist eher eine gesellschaftliche Aufgabe, den Nutzer mit der Problematik nicht allein zu lassen. Stellen Sie sich vor, sie kaufen ein Auto und der Verkäufer sagt: Ach, übrigens, denken Sie noch dran die Airbags zu montieren und die Bremsschläuche zu kontrollieren, bevor sie losfahren. Das ist in etwa das Sicherheitsniveau, auf dem wir uns in der IT bewegen.
Sie kommen aus der Forschung. Gibt es da keine neuen Ansätze, wie das Sicherheitsproblem gelöst werden kann, wenn doch auch die Cyberkriminalität immer innovativer wird?
Oh doch, sogar sehr viele und gute. Wir bekommen sie nur nicht in die Umsetzung, weil es zu viele Monopolisten gibt, sodass wir einerseits nicht auf die Sicherheitsmodule, die TMPs, der Notebooks kommen, auf die wir kommen müssten, andererseits die US-Monopolisten aber nicht die Sicherheit bieten, die wir bräuchten. Wir stecken da ein wenig in einem sogenannten Deadlock.
Und wie kommen wir da wieder raus?
Am einfachsten mit Einkaufspraktiken. Allein deutsche Unternehmen geben im Jahr rund sieben Milliarden für IT-Sicherheit aus. Wenn sich diese Unternehmen als Stakeholder zusammenschließen würden, und sei es nur mit zehn Prozent der Gesamtausgaben über einen bestimmten Zeitraum, daran aber Bedingungen knüpfen würden, müssten sich auch die Monopolisten bewegen, die einen höheren Sicherheitsgrad – ob bewusst oder unbewusst – aktuell verhindern.
Um es noch einmal zusammenzufassen: Die IT-Sicherheitslage ist auch deshalb so prekär, weil Architektur und Software nie auf die heutige Nutzung ausgelegt waren. Es sind also nicht politische Entwicklungen, wie in Russland oder China, die zu der zugespitzten IT-Sicherheitslage geführt haben?
Cyberkriegsführung gibt es, ja, sie spielt für Unternehmen jedoch momentan eine eher untergeordnete Rolle. Angriffe auf die Wirtschaft finden in der Regel zur Bereicherung und aus krimineller Energie statt. Dennoch müssen wir uns in der Zukunft zunehmend auf einen Cyberwar einstellen. Das IT-Sicherheitsgesetz hat hier ja schon einige Aspekte reguliert, damit die Kritischen Infrastrukturen in Zukunft immer robuster gegen politische Angriffe werden.
Prof. Dr. Norbert Pohlmann
ist Informatikprofessor für Informationssicherheit an der Westfälischen Hochschule sowie Geschäftsführender Direktor des Forschungsinstituts für Internet-Sicherheit – if(is). Außerdem ist er Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes - eco.
