Suchen

IT-Security Wettlauf von Cyber-Igel und Cyber-Hase

Autor / Redakteur: Jörg Prings & Marcus Hock / Susanne Ehneß

Die Motivation für Hacker-Angriffe – vom einfachen Spieltrieb bis zu professionellen, politischen und wirtschaftlichen Interessen – trifft in vollem Umfang auch auf öffentliche Institutionen zu. Jörg Prings und Marcus Hock von der Profi AG erklären die Hintergründe.

Firmen zum Thema

Wenn wir in der Vergangenheit an das Thema Hacker gedacht haben, sind uns in der Regel Szenarien eingefallen wie zum Beispiel Wirtschaftsspionage – manch einer wundert sich, in China Automobile zu finden, die europäischen ­optisch sehr ähnlich sind – oder natürlich die Versuche des Aus­spähens der Passwörter inklusive des Online-Banking-Zugriffs auf dem Rechner in den eigenen vier Wänden.

2013 enthüllte der ehemalige Geheimdienstmitarbeiter Edward Snowden die internationalen Überwachungsaktivitäten der National Security Agency (NSA), die seit spätestens 2007 in großem Umfang die Telekommunikation und dabei insbesondere das Internet verdachtsunabhängig überwacht haben soll.

Und heute im Jahr 2015? Die Digitalisierung unserer Arbeitswelt schreitet rasant voran, jeder ist mit jedem, alles mit allem vernetzt, Stichworte dazu sind Social Media Networks, B2B (business to business), B2C (business to consumer), Industrie 4.0, um nur einige so­genannte „Buzzwords“ zu nennen. Die Gründe für mehr oder weniger professionelle Angriffe auf Industrie und Wirtschaft liegen auf der Hand. Wo aber liegen die Interessen der Angreifer auf öffentliche Institutionen?

Attraktiver Public Sector

Die Frage nach den Gründen für Angriffe stellt sich jedoch erst an zweiter Stelle, die jüngste Vergangenheit lehrt uns, dass die ganze Bandbreite an Interessen – vom einfachen Spieltrieb bis zu professionellen, politischen und wirtschaftlichen Interessen – in vollem Umfang auch auf öffentliche Institutionen zutreffen:

  • Computerviren im Bundestag – was war die Motivation der Angreifer?
  • Zugriff auf die Server der Kfz-Zulassungsstellen in Hessen und Rheinland-Pfalz – was wollten die Angreifer damit erreichen?

Die Kernfrage ist doch, wie man sich vor Angriffen jeglicher Art schützen kann, was zu tun ist, um IT sicherer zu machen, als sie heute ist.

Dabei betrachte ich noch gar nicht den Handlungsbedarf im Rechtsraum, Stichwort dazu das IT-Sicherheitsgesetz (ITSiG) als Vorschlag der Bundesregierung, einen Mindeststandard für die IT-Sicherheit zu vereinbaren und eine Meldepflicht für IT-Störfälle ein­zuführen.

Ist IT heute trotz der unzähligen Sicherheitskonzepte und installierten Softwareprodukte nicht sicher genug? Dazu möchte ich ein einfaches Beispiel heranziehen: Als Mitarbeiter im Back Office einer Bank bearbeitet und prüft Herr ­Peter jeden Tag zahlreiche Kreditanträge. Eines Morgens hat er eine­ eMail von einer Person in seinem Postfach, die vorgibt, ihn neulich auf einer Veranstaltung in Berlin kennengelernt zu haben. Tatsächlich war er auch dort, nur an den Absender der Mail kann er sich nicht mehr erinnern, da Herr Peter an diesem Tag mit unzähligen Personen gesprochen hat. Trotzdem klickt er auf den beigefügten Link – plötzlich springt ein Pop-up-Fenster im Browser auf, das Herr Peter, ohne es weiter zu beachten, einfach wegklickt. Es war ein Sicherheitshinweis des Browsers. Damit nimmt das Übel seinen Lauf.

Was nun geschieht, kann sehr vielfältig sein: Zugang zum Netzwerk der Bank, damit die Möglichkeit Passwörter oder Daten auszuspähen. Viel wichtiger als die Beschreibung des möglichen Schadenszenarios ist die Analyse, wie der „Einbruch“ trotz IT-Sicherheitssysteme hat stattfinden können: die Unachtsamkeit oder Unaufmerksamkeit des Sachbearbeiters in diesem Beispielfall.

Bitte lesen Sie auf der nächsten Seite weiter.

Der menschliche Faktor

Jörg Prings, Leiter des Geschäftsbereichs „Öffentlicher Dienst“
Jörg Prings, Leiter des Geschäftsbereichs „Öffentlicher Dienst“
(Profi AG)

Ungewöhnlich? Sicherlich nicht. Dieses Beispiel soll deutlich machen, dass IT-Security bei jedem Nutzer der Informationstechnologie selbst beginnt, nur dann können IT-Security-Konzepte, Monitoring und Abwehrmechanismen wirkungsvoll greifen.

Ist also das Benutzerverhalten der Schlüssel zu 100 Prozent IT-Sicherheit? Natürlich nicht, denn IT ist von Menschen „gebaut“, eine Firewall von Menschen entwickelt und programmiert, und Menschen machen Fehler. Die daraus entstehenden Sicherheitslücken in den Programmen auf allen Rechnern dieser Welt ermöglichen es Hackern, in IT-Systeme und Programme einzudringen trotz achtsamer Anwender und installierter Schutzmechanismen.

Ein Wettlauf mit der Zeit, Cyber-Hase und Cyber-Igel: Entdeckt der Hacker die Sicherheitslücke bei dem System-/Programm-Hersteller, bevor dieser mit einem Security Patch die Sicherheitslücke schließen kann?

Wirtschaftliche und politische Interessen

Gilt das alles auch für den Öffentlichen Dienst? Spätestens seit dem Angriff auf den Bundestag ist klar geworden, dass ausschließlich ­politische Ziele im Fokus der Hacker stehen mit dem Hintergrund, wirtschaftliche Interessen für das eigene Land zu erzielen.

Zum Beispiel werden gezielt Behörden ausspioniert, die Fördermittel vergeben. Hier stellt sich die Frage nach dem Warum.

Für andere Nationen ist es wichtig, zu erfahren, welche Unternehmen in Deutschland innovativ am Markt agieren und wachsen. Erste Informationen finden sich hierzu sicher leicht im Netz.

Danach sind beispielsweise Fördermittelanträge für wachsende Unternehmen, welche in Bundes- und Landesbehörden bearbeitet werden, ein wichtiger Indikator für die Angreifer. Diese Informationen motivieren die Angreifer, ­ihre Hackerattacken auf Ministerien und Behörden gezielt anzusetzen und sich durch das Ausspionieren von Fördermittelprogrammen, Steuervergünstigungen, Wirtschaftsförderung und Fördermittelanträgen eine Matrix für weitere Rückschlüsse auf interessante Unternehmen zu schaffen. Meist interessieren sich die Angreifer hier für die begünstigten Unternehmen, da diese die lukrativsten und innovativsten am Markt sind und folglich dann Ziele weiterer Angriffe werden.

Der IT-Planungsrat hat daher nun festgeschrieben, dass alle Bundes-Länder bis 2016 CERTs (Computer Emergency Response Team) für ihre Behörden aufbauen müssen.

Bitte lesen Sie auf der nächsten Seite weiter.

Marcus Hock, Consultant, Profi AG
Marcus Hock, Consultant, Profi AG
(Profi AG)

Wichtigstes Hindernis in der täglichen Arbeit ist, dass – ähnlich wie in der Industrie – auch die ­Behörden den Angreifern meist zeitlich hinterherlaufen. Außerdem sind die Ressourcen, welche Behörden aufbringen können, im ­Vergleich zu den Möglichkeiten der Angreifer, unverhältnismäßig klein.

Dementsprechend bedarf es einer weiteren schnellen Bereitstellung von personellen, technischen und finanziellen Mitteln im Öffentlichen Dienst, um dieser Unverhältnismäßigkeit Herr zu werden. Die Mittelzuführung gestaltet sich in der Praxis durch die langen Haushaltszeiträume und die festen Strukturen teilweise schwierig.

Maßnahmen

Was also kann man generell tun, um in diesem immerwährenden Wettrüsten mithalten zu können? Natürlich müssen alle Maßnahmen, seien sie technisch oder organisatorischer Natur, immer auch in Relation zum konkreten Risiko stehen. Doch genau an dieser ­Stelle tun sich oft die ersten Defizite auf: Was sind denn die tatsächlichen Risiken, denen die betreffende IT ausgesetzt ist? Was sind denn die kritischen Daten, auf welchen Systemen befinden sie sich und welche Auswirkungen hätte ein Verlust an Vertraulichkeit, Integrität oder Verfügbarkeit?

All dies sind klassische Fragen, die am Anfang eines Prozesses zur ­Bewertung, Verbesserung und fortlaufenden Pflege der eigenen IT-Sicherheit stehen. Zusammen mit diversen anderen Themen, Prozessen und Regelungen entsteht auf diese Weise ein Informationssicherheits-Management-System (ISMS). Ob dieses nun bis zur Zertifizierung auf Basis BSI-Grundschutz oder ISO 27001 fortgeführt wird, muss im jeweiligen Einzelfall betrachtet werden.

Zuallererst muss aber erkannt ­werden, dass IT-Sicherheit keine Ansammlung von Werkzeugen in Verbindung mit oft entweder ­unzeitgemäßen oder rein situativ-reaktiven Regularien mehr sein darf. Das ISMS soll in erster Linie dazu dienen, als Rahmenwerk für die IT-Sicherheit das zu ermöglichen, was IT-Sicherheit heute sein muss: Ein permanenter Prozess, der dem Zyklus „Plan-Do-Check-Act“ folgt. Natürlich ist die Voraus­setzung für einen echten Mehrwert dabei immer, dass es sich nicht um ein reines Papierwerk handelt, ­welches den Bezug zur alltäglichen Realität in der Behörde verloren hat. Vielmehr muss es als Framework einen Rahmen bieten, der es den Beteiligten ermöglicht, die technischen und organisatorischen Änderungen schneller, effektiver und vor allem immer am realen Schutzbedarf orientiert einzusetzen.

Auf diese Weise entwickelt sich IT-Sicherheit von einer Sammlung aus Werkzeugen und Regelungen zu einem lebendigen Prozess, der den rasanten Entwicklungen auf der Gegenseite etwas entgegen­zusetzen hat. Ob sich an die Umsetzung eine formale Zertifizierung anschließt oder die bestehenden Leitfäden nur als inhaltliche Hilfestellung verwendet werden, steht auf einem ganz anderen Blatt.

Die Frage jedoch, ob Informationssicherheit eines stetig fortgeführten, individuellen Management-Prozesses bedarf, wird von jedem Sicherheitsvorfall aufs Neue eindeutig beantwortet. Und trotzdem werden wir uns auch weiter erfolgreichen Angriffen und Störfällen ausgesetzt sehen, dem Cyber-Hasen­ und dem Cyber-Igel.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

(ID:43613918)