Autor: Michael Meier

Herausforderungen und Chancen bei Cybersicherheit – Fraunhofer-Experten im Interview

14.6.2017

© iStock

"Hackerangriffe werden wir nie vollständig verhindern können" – die Einschätzung von Prof. Meier zur aktuellen Lage der IT-Sicherheit.

„Ich wundere mich, dass nicht schon mehr passiert ist“

Die Anzahl und Qualität von Cyberangriffen nehmen kontinuierlich zu, fast jeder mittelständische Betrieb wurde bereits attackiert, allein der Volkswagen-Konzern gibt die Zahl der Cyberattacken auf sein IT-Netz mit 6.000 Fällen pro Tag an, und im letzten Monat war WannaCry in aller Munde – Hacking scheint immer mehr zu einem zentralen Thema in unserer digitalisierten Gesellschaft zu werden. 

Was erwartet uns in der Zukunft in puncto Cyberangriffe? Wann sind Unternehmen eigentlich sicher vor Hackern? Und woran wird in der Forschung gerade gearbeitet, um besser auf Angriffe zu reagieren oder diese zu verhindern? Antworten auf diese drängenden Fragen gibt Prof. Michael Meier vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE.

Immer häufiger lesen wir von Hackerangriffen auf Software oder vernetzte Geräte. Nun sind dabei eine ganze Menge an Akteuren beteiligt. Professor Meier, wer kann und muss schlussendlich für den Schutz vor Angriffen sorgen?

Nehmen wir für diese Frage nach der Verantwortung ein Beispiel aus dem letzten Jahr, wo eine Internetkamera eines bestimmten Herstellers über Aldi an Endkunden verkauft wurde. Letztendlich wurden Schwachstellen in genau diesen Kameras ausgenutzt, um den Angriff zu fahren, bei dem insbesondere Telekom-Kunden mit ihren Routern Opfer geworden sind. Jetzt kann man sich fragen: wer ist eigentlich schuld? Die Telekom, weil ihre Systeme angreifbar waren? Der Vertreiber Aldi, weil er Produkte verkauft, die ein Sicherheitsrisiko für Endverbraucher darstellen? Der Hersteller der Kamera, der fehlerhafte Software ausliefert bzw. die Fehler nicht beseitigt? Oder auch der Endverbraucher, der beim Kauf auf den Preis, aber nicht auf Sicherheitsrisiken achtet? Ich glaube tatsächlich, man muss an allen Stellen ansetzen. Alle müssen ihren Beitrag leisten, damit wir gemeinsam die Zielsetzung „Sicherheit“ erreichen können.

 

Ständig hören wir von steigenden Zahlen an Cyberattacken, Hacking tausender von Benutzeraccounts, Schlagzeilen um WannaCry – wie ernst ist die Lage um IT-Sicherheit aktuell?

Ehrlich gesagt wundere ich mich, dass nicht schon viel mehr passiert ist. Und von da her kann man vielleicht auch solche Phänomene wie WannaCry eher als Weckruf verstehen. Denn dabei handelte es sich „nur“ um Kriminelle, die mit Angriff Geld erbeuten wollten. Aber auch andere Akteure mit viel zerstörerischen Interessen haben die Fähigkeiten für derartige Hackerangriffe. Natürlich ist es schwierig, die Zukunft vorherzusagen, und ich will auch nicht schwarz malen – aber ich befürchte, wir müssen uns daran gewöhnen, dass solche Angriffe wie WannaCry tatsächlich passieren. Und deswegen ist es umso wichtiger, dass wir sowohl in die Ausbildung von IT-Sicherheitspersonal investieren als auch grundsätzlich bei der Absicherung von IT-Infrastrukturen geeignete Maßnahmen und Verfahren vorsehen. Doch Hackerangriffe werden wir nie vollständig abschaffen können, genauso wie wir die klassische Kriminalität im nicht-digitalen Umfeld nicht loswerden können.

 

Kann ein Unternehmen dann überhaupt irgendwie sicher sein vor Schadsoftware?

Ich würde das so formulieren, dass ein Unternehmen dann sicher ist, wenn die verbleibenden Restrisiken tragbar sind – was wiederum jeder Betrieb für sich individuell entscheiden muss. Tragbares Risiko bedeutet, man muss mit präventiven Maßnahmen dafür sorgen, dass möglichst wenig passiert, Angriffe mit geeigneten Verfahren erkennen und aufdecken, und die richtigen Instrumente bereit halten, um bei einem Angriff den Schaden möglichst gering zu halten.

 

Das sind im Grunde auch die Themenbereiche, zu denen das Fraunhofer FKIE und die Hochschule Bonn-Rhein-Sieg forschen und Weiterbildungen anbieten. An welchen Projekten arbeiten Sie momentan am Fraunhofer FKIE genau?

Ein großer Bereich ist die Schadsoftwareanalyse. Hier untersuchen wir, mit welchen Werkzeugen und Instrumenten Angreifer eigentlich arbeiten, und welche aktuellen Trends und Techniken dort zum Einsatz kommen. Und dann arbeiten wir natürlich auch an Lösungen, wie man diese Schadprogramme erkennen und ihren Angriff verhindern kann. Außerdem beschäftigen wir uns mit klassischer Angriffserkennung. Also wie kann man erkennen, dass irgendwelche Angreifer unterwegs sind und versuchen, in die Systeme einzudringen. Die Herausforderung hierbei ist es, diese Kontrolle der laufenden Systeme möglichst gesellschaftsverträglich zu machen. Denn Überwachung stellt ja auch immer einen gewissen Eingriff in die Persönlichkeitsrechte dar. Um nicht so tief in die Privatsphäre von Nutzern einzudringen, setzen wir dort auf das Instrument der Pseudonymisierung: kritische personenbezogene Daten werden durch Pseudonyme ersetzt. So ist nicht mehr ersichtlich, wer hinter einem Pseudonym steckt, man kann die Daten aber trotzdem noch analysieren. Zu diesem Themenfeld organisiere ich übrigens auch die 14. internationale Konferenz Detection of Intrusions and Malware & Vulnerability Assessment [GT1]  (DIMVA), die vom 6.-7. Juli 2017 in Bonn stattfindet. Hier tauschen sich Wissenschaftler,  Anwender und Entwickler über aktuelle Erkenntnisse zu Cyber-Angriffen und –Abwehr aus.

 

Daneben beschäftigt sich Ihr Institut aber auch mit Usable Security, also der Nutzerfreundlichkeit von IT-Sicherheit. Was unternehmen Sie in diesem Bereich?

Nach dem Ansatz von Usable Security geht man davon aus, dass Informationstechnik nur dann sicher ist, wenn die eigentlichen Nutzer sie wirklich sicher und souverän beherrschen können. Und das setzt natürlich voraus, dass diese Systeme so gebaut sind, dass die Nutzer – das sind normale User, aber auch Programmierer – damit möglichst einfach umgehen können. Die Schwierigkeit besteht hier darin, dass IT-Systeme inhärent eine gewisse Komplexität aufweisen, was beim Nutzer zu Überforderung führt und dazu, dass unter Sicherheitsgesichtspunkten schneller Fehler passieren.

Den Nutzer im Fokus hat auch ein anderes Forschungsprojekt, bei dem wir die Awareness der User hinsichtlich Sicherheit unter die Lupe nehmen. Sichere Systeme setzen ja voraus, dass Benutzer wissen, was sie tun, und schon ein gewisses IT-Sicherheitsbewusstsein mitbringen. Und wir beschäftigen uns damit, wie man dieses Bewusstsein messen kann, um den Erfolg von Awareness-Maßnahmen zu bestimmen.

Ein Projekt möchte ich noch erwähnen, das sich mit einem relativ spezifischen Phänomen im Umfeld von IT-Angriffen beschäftigt: Nach dem massenhaften Diebstahl von Zugangsinformationen werden diese Daten oft über Datenbanken – in verschlüsselter Form oder bereits im Klartext – veröffentlich oder verkauft. Und als Privatperson oder als Unternehmen stellt sich die Frage: wer hilft mir als Opfer überhaupt davon zu erfahren, dass meine Benutzeraccounts gehackt und die Zugangsdaten veröffentlicht wurden? Im Rahmen des Projekts überlegen wir, wie man Betroffene von solchen Vorfällen effektiv informieren und warnen kann. Das ist auch wieder relativ schwierig, da gibt es eine ganze Reihe an Aspekten zu beachten. Zum einen darf man Nutzer, wenn man sie warnt, nicht überfordern, sonst werden solche Warnungen irgendwann nicht mehr wahrgenommen. Deshalb arbeiten wir hier auch mit Psychologen zusammen, um die Art und Weise der Informationsverarbeitung bei Menschen zu berücksichtigen. Zum anderen haben wir in der genannten Situation wieder ein Datenschutzproblem: die gehackten Zugangsdaten sind ja personenbezogene Daten, weshalb sich die Frage stellt, ob und wer diese eigentlich verarbeiten darf. Und letztlich ist es natürlich auch eine technische Herausforderung, weil man differenzieren muss, ob die gestohlenen Daten überhaupt noch aktuell sind oder beispielsweise das geknackte Passwort schon geändert wurde. Solche Bewertungen von diesen Identitätsdaten muss man vornehmen, um weniger kritische Warnungen zu unterlassen, damit die Opfer nicht überfordert oder von solchen Warnung abstumpft werden.

 

Eine Konsequenz aus der aktuellen IT-Sicherheitslage und den Forschungen am Fraunhofer FKIE und der Hochschule sind die Weiterbildungen, die im Rahmen des Programms "Lernlabor Cybersicherheit" angeboten werden. Was erwartet die Teilnehmer dort?

In dem Lernlabor wollen wir vom Fraunhofer FKIE gemeinsam mit der Hochschule Bonn-Rhein-Sieg drei Themenfelder insbesondere bedienen: Erstens den Bereich der Schadsoftwareanalyse. Gerade im Hinblick auf die bereits erwähnte Steigerung an Angriffen braucht es in Unternehmen und öffentlichen Einrichtungen mehr qualifiziertes Personal, das solche Attacken erkennen, analysieren und abwehren kann. Deshalb schulen wir IT-Administratoren in Grundlagen zu elektronischen Angriffen und in Kenntnissen zu aktueller Schadsoftware und deren Verbreitungswegen. Analysten und Ermittlern aus Sicherheitsbehörden oder Sicherheitsorganisationen von Unternehmen vermitteln wir Spezialkenntnisse zur Aufklärung von Vorfällen und Analyse von Schadsoftware. Aber auch Führungskräfte und Entscheider sensibilisieren wir für die Sicherheitsproblematik, um sie fit zu machen für den richtigen Umgang mit möglichen Sicherheitsrisiken.

Zweitens beschäftigen wir uns in Forschung und Weiterbildung auch mit dem Thema Internet of Things, wobei wir da insbesondere Gebäudeautomation, also Technik, die in Gebäuden verbaut ist, betrachten wollen. Vernetzte Mikrocontroller und das Internet of Things verbreiten sich immer weiter, etwa auch in Fertigungsprozessen, bei der Energieversorgung oder der Gebäudesteuerung. Gerade in diesen Umfeldern sind geeignete Sicherheitsmechanismen natürlich entscheidend. Und hier liegt unser Fokus auch wieder auf der Gebrauchstauglichkeit der Anwendungen, also der Usable Security. Einerseits geht es darum, Steuerungstechnik in Bestandsgebäuden auf die Risiken der zunehmenden Internet-Vernetzung vorzubereiten und diese abzusichern. Andererseits besteht die Aufgabe darin, Automatisierungstechnik für neue Gebäude geeignet zu gestalten, wobei unter anderem die Langlebigkeit dieser Technik eine Herausforderung darstellt - denn ganz anders als Smartphones werden weder Gebäude noch Gebäudesteuerungen alle zwei Jahre durch neue ausgetauscht. Unsere Weiterbildungsangebote hierzu richten sich insbesondere an Gebäudebetreiber und Entwickler von Gebäudeautomationssystemen.

Und drittens das Themenfeld biometrische Verfahren, die vor allem an Orten mit erhöhten Sicherheitsanforderungen eingesetzt werden. Ein gemeinsames Problem aller biometrischen Verfahren ist, dass Körpermerkmale verfälscht und nachgeahmt werden können. In unseren Weiterbildungen vermitteln wir Systemarchitekten und Entwicklern eingebetteter Systeme die Funktionsweise biometrischer Systeme sowie Manipulationsmöglichkeiten. Dadurch werden die Teilnehmer in die Lage versetzt, die Möglichkeiten und Grenzen der Systeme einzuschätzen.

 

Was unterscheidet die Schulungen im Lernlabor denn von anderen Angeboten?

Bei den Weiterbildungsmodulen geht es uns insbesondere darum, neuste Erkenntnisse aus diesen parallel laufenden Forschungsgebieten einzubringen. Darum werden die Labore, in denen wir forschen, auch für unsere Seminare genutzt. So sind die Teilnehmer möglichst nah an der echten Materie und können diese besser nachvollziehen. Und auch bei der inhaltlichen Ausrichtung der Module verfolgen wir diesen Hands-on-Aspekt: wir haben mittlerweile auch Anfragen von Unternehmen erhalten, Mitarbeiter intern zu spezifischen Themenbereichen zu schulen. Dafür passen wir die Inhalte maßgeschneidert an diese konkreten Bedürfnisse an.