Die Bedrohungslage hat sich auch im letzten Jahr weiter verschärft, das war die schlechte Nachricht zu Beginn der Konferenz. Aber wirklich belastbare und vor allem umfassende Zahlen für diese Diagnose hat weder das BSI noch der Chef des Bundeskriminalamtes, Jörg Ziercke. Viele Opfer von Cyber-Angriffen schweigen nämlich aus Sorge um die eigene Reputation; und längst nicht jeder, der über einen Daten-Einbruch berichtet, erstattet dann auch automatisch Anzeige bei der Polizei. Aber die Angriffe aus sozialen Netzwerken heraus würden stark zunehmen, berichtete Ziercke - das "Social Engineering", die persönliche Ansprache eines Opfers ist ein probates Mittel, um Schädlinge an den Mann oder an die Frau zu bringen. Das gilt auch für Angriffe, die mit extrem hohem Aufwand auf ein ganz bestimmtes Ziel hin maßgeschneidert sind. Aber die gute Nachricht in Bonn: So etwas wie Stuxnet oder Duqu ist immer noch die absolute Ausnahme, und 80 Prozent der Cyber-Attacken ließen sich sogar "eigentlich" mit normalen Mitteln abwehren.
"Chorddroid.apk" – installier ich mal, das ist jetzt glaub ich diese ganz normale Vorgehensweise; Anwendung ersetzen, Update installieren. 'Möchten Sie diese Anwendung installieren – dieser Anwendung Zugriff erlauben auf usw.?' Ich bin ja so ein bisschen trainiert, also ich möchte das Programm ja haben, deswegen muss ich auf "Installieren" klicken, ist ja klar. Genau."
Für Lacher sorgte die unterhaltsam vorgeführte Hacking-Demonstration vom Institut für Internet-Sicherheit der westfälischen Hochschule Gelsenkirchen – Sebastian Feld gab den "ganz normalen Anwender", öffnete eifrig E-Mails mit PDF-Anhängen auf seinem Notebook oder installierte mal schnell eine App auf seinem Android-Handy – und Oliver Achten in der Rolle des bösen Hackers stöberte - mir nichts, dir nichts - auf der Festplatte des Kollegen herum oder verwandelte dessen Handy in eine mobile Abhörwanze. Für Informatiker ist so etwas ein alter Hut, gibt Sebastian Feld zu:
"Aber für die es ist ja auch nicht, sondern gezielt für die Laien oder die ganz normalen Computeranwender: Wir wollen zeigen, was eben möglich ist, wir wollen die Leute wachrütteln. Und es gibt eben vielleicht Leute, die noch nicht wussten, dass auch Handys Ziel von Trojanern werden können."
Tatsächlich machen die Mobilgeräte den für Datensicherheit Verantwortlichen in Firmen und Behörden nach wie vor erhebliche Sorgen. Jeder hat ein Smartphone, jeder nimmt es mit an seinen Arbeitsplatz, und jeder möchte es auch dort benutzen – und öffnet damit unter Umständen ein Einfallstor für ungebetene Gäste. Ganz draußen halten lassen sich die ohnehin nicht, so sieht es Dirk Häger, Fachbereichsleiter Operative Netzabwehr beim BSI:
"Ein guter Angriff schlägt durch. Das kriegt man nur hin, indem man den Nutzer ganz stark einschränkt. Dass man nur noch von bestimmten Personen E-Mails entgegennimmt, dass man immer noch nachruft, Herr Müller, haben sie mir wirklich dieses Dokument geschickt, darf ich das öffnen? Das passt aber überhaupt nicht zu unserer täglichen Arbeit. Aber was wir erreichen müssen ist, dass wenn ein Angriff erfolgreich gewesen ist, dass wir den Firmen eine Chance geben, das innerhalb von ein paar Tagen zu detektieren, um halt damit die Auswirkungen des Angriffes zu minimieren. Angriffe werden erfolgreich sein, die Auswirkungen müssen wir herunterbekommen."
Bislang habe man, und da schließt Häger staatliche Stellen ausdrücklich ein, die Entdeckung einer Cyber-Attacke gerne geheim gehalten - ganz einfach, um dem Angreifer nicht zu signalisieren: Die Sache funktioniert jetzt nicht mehr. Eine plausible, aber auch sehr egoistische Strategie; viele Experten fordern daher seit langem die rasche und vollständige Offenlegung von bekannt gewordenen Sicherheitslücken – nur so könne jedermann auf die Gefahren entsprechend reagieren.
"Das ist einfach dieser Abwägungsprozess, da sind wir momentan an einem Punkt angekommen, wo wir sagen, die Vertraulichkeit der Informationen ist weniger wichtig als der Schutz der Firmen in Deutschland. Das hilft mir überhaupt nicht, wenn ich weiß, dass ich Informationen von einem Rüstungskonzern bekommen habe, lese dann ein halbes Jahr später eine Analyse von irgendwelchen Antivirenfirmen, dass da 30,40 Rüstungsfirmen angegriffen worden sind, und wir saßen auf den Informationen, und haben sie nicht weitergegeben. Das müssen wir ändern."
Vehikel für die neue Offenheit soll die "Allianz für Cybersicherheit" sein, eine gemeinsame Initiative von BSI und dem Branchenverband Bitkom. Auf der Konferenz in Bonn wurde symbolisch der Startknopf für die Pilotphase gedrückt, der Regelbetrieb soll dann im Herbst beginnen. Die Allianz richtet sich ausdrücklich nicht an Privatanwender, sondern an deutsche Firmen und Behörden, die hier - auf Wunsch auch anonym - Sicherheitsvorfälle melden können und über die Erkenntnisse der anderen Teilnehmer aufgeklärt werden. Schrankenlos wird die neue, alliierte Kommunikationsfreude von staatlichen und privaten Cyber-Wächtern aber keineswegs: An die "brisantesten" Informationen gelangt nur, wer eine Nichtweitergabe-Erklärung unterschreibt und für ein Unternehmen von überragender Infrastruktur-Bedeutung arbeitet.
Von Cyber-Panik war in Bonn jedenfalls noch nichts zu spüren – auch wenn BSI-Abteilungsleiter Hartmut Isselhorst eine Bedrohungspyramide skizzierte, die Jahr für Jahr schneller eskaliere: Mittlerweile sei die Welt an der Schwelle zur vorletzten "Phase fünf" angelangt – dazu gehören vereinzelte, gezielte Cyber-Angriffe mit physikalischen Auswirkungen a la "Stuxnet". "Phase sechs", wurde das Publikum gewarnt, das wäre dann der breit angelegte Cyber-War oder Cyber-Terrorismus:
"Der erste massive Cyber-Angriff auf eine kritische Infrastruktur wird einen Denkwandel verursachen. Wir sollten aber nicht solange warten, sondern uns schon vorher darauf vorbereiten."
Zum Themenportal "Risiko Internet"
"Chorddroid.apk" – installier ich mal, das ist jetzt glaub ich diese ganz normale Vorgehensweise; Anwendung ersetzen, Update installieren. 'Möchten Sie diese Anwendung installieren – dieser Anwendung Zugriff erlauben auf usw.?' Ich bin ja so ein bisschen trainiert, also ich möchte das Programm ja haben, deswegen muss ich auf "Installieren" klicken, ist ja klar. Genau."
Für Lacher sorgte die unterhaltsam vorgeführte Hacking-Demonstration vom Institut für Internet-Sicherheit der westfälischen Hochschule Gelsenkirchen – Sebastian Feld gab den "ganz normalen Anwender", öffnete eifrig E-Mails mit PDF-Anhängen auf seinem Notebook oder installierte mal schnell eine App auf seinem Android-Handy – und Oliver Achten in der Rolle des bösen Hackers stöberte - mir nichts, dir nichts - auf der Festplatte des Kollegen herum oder verwandelte dessen Handy in eine mobile Abhörwanze. Für Informatiker ist so etwas ein alter Hut, gibt Sebastian Feld zu:
"Aber für die es ist ja auch nicht, sondern gezielt für die Laien oder die ganz normalen Computeranwender: Wir wollen zeigen, was eben möglich ist, wir wollen die Leute wachrütteln. Und es gibt eben vielleicht Leute, die noch nicht wussten, dass auch Handys Ziel von Trojanern werden können."
Tatsächlich machen die Mobilgeräte den für Datensicherheit Verantwortlichen in Firmen und Behörden nach wie vor erhebliche Sorgen. Jeder hat ein Smartphone, jeder nimmt es mit an seinen Arbeitsplatz, und jeder möchte es auch dort benutzen – und öffnet damit unter Umständen ein Einfallstor für ungebetene Gäste. Ganz draußen halten lassen sich die ohnehin nicht, so sieht es Dirk Häger, Fachbereichsleiter Operative Netzabwehr beim BSI:
"Ein guter Angriff schlägt durch. Das kriegt man nur hin, indem man den Nutzer ganz stark einschränkt. Dass man nur noch von bestimmten Personen E-Mails entgegennimmt, dass man immer noch nachruft, Herr Müller, haben sie mir wirklich dieses Dokument geschickt, darf ich das öffnen? Das passt aber überhaupt nicht zu unserer täglichen Arbeit. Aber was wir erreichen müssen ist, dass wenn ein Angriff erfolgreich gewesen ist, dass wir den Firmen eine Chance geben, das innerhalb von ein paar Tagen zu detektieren, um halt damit die Auswirkungen des Angriffes zu minimieren. Angriffe werden erfolgreich sein, die Auswirkungen müssen wir herunterbekommen."
Bislang habe man, und da schließt Häger staatliche Stellen ausdrücklich ein, die Entdeckung einer Cyber-Attacke gerne geheim gehalten - ganz einfach, um dem Angreifer nicht zu signalisieren: Die Sache funktioniert jetzt nicht mehr. Eine plausible, aber auch sehr egoistische Strategie; viele Experten fordern daher seit langem die rasche und vollständige Offenlegung von bekannt gewordenen Sicherheitslücken – nur so könne jedermann auf die Gefahren entsprechend reagieren.
"Das ist einfach dieser Abwägungsprozess, da sind wir momentan an einem Punkt angekommen, wo wir sagen, die Vertraulichkeit der Informationen ist weniger wichtig als der Schutz der Firmen in Deutschland. Das hilft mir überhaupt nicht, wenn ich weiß, dass ich Informationen von einem Rüstungskonzern bekommen habe, lese dann ein halbes Jahr später eine Analyse von irgendwelchen Antivirenfirmen, dass da 30,40 Rüstungsfirmen angegriffen worden sind, und wir saßen auf den Informationen, und haben sie nicht weitergegeben. Das müssen wir ändern."
Vehikel für die neue Offenheit soll die "Allianz für Cybersicherheit" sein, eine gemeinsame Initiative von BSI und dem Branchenverband Bitkom. Auf der Konferenz in Bonn wurde symbolisch der Startknopf für die Pilotphase gedrückt, der Regelbetrieb soll dann im Herbst beginnen. Die Allianz richtet sich ausdrücklich nicht an Privatanwender, sondern an deutsche Firmen und Behörden, die hier - auf Wunsch auch anonym - Sicherheitsvorfälle melden können und über die Erkenntnisse der anderen Teilnehmer aufgeklärt werden. Schrankenlos wird die neue, alliierte Kommunikationsfreude von staatlichen und privaten Cyber-Wächtern aber keineswegs: An die "brisantesten" Informationen gelangt nur, wer eine Nichtweitergabe-Erklärung unterschreibt und für ein Unternehmen von überragender Infrastruktur-Bedeutung arbeitet.
Von Cyber-Panik war in Bonn jedenfalls noch nichts zu spüren – auch wenn BSI-Abteilungsleiter Hartmut Isselhorst eine Bedrohungspyramide skizzierte, die Jahr für Jahr schneller eskaliere: Mittlerweile sei die Welt an der Schwelle zur vorletzten "Phase fünf" angelangt – dazu gehören vereinzelte, gezielte Cyber-Angriffe mit physikalischen Auswirkungen a la "Stuxnet". "Phase sechs", wurde das Publikum gewarnt, das wäre dann der breit angelegte Cyber-War oder Cyber-Terrorismus:
"Der erste massive Cyber-Angriff auf eine kritische Infrastruktur wird einen Denkwandel verursachen. Wir sollten aber nicht solange warten, sondern uns schon vorher darauf vorbereiten."
Zum Themenportal "Risiko Internet"
