Reisig: Herr Kloiber, wie gehen die Hersteller denn dabei vor?
Kloiber: Na ja, sie lassen sich von ihren Kunden berichten, was auf deren Computer so abgeht. Wer aktuell zum Beispiel so einen Virenscanner neu installiert, der wird ja zum Beispiel aufgefordert zuzulassen, dass sein Computer Reports an das Sicherheitsnetzwerk des Herstellers liefert. Und wenn man dann bei der Installation zustimmt, wird man Teil eines gigantischen Datennetzes, einer Datensammlung, bei der es einzig darum geht, weltweit als erster und in kürzester Zeit neue Computerschädlinge aufspüren zu können.
Raisig: Und welche Daten werden da genau übermittelt, und wie werden die dann ausgewertet?
Kloiber: Es geht im Wesentlichen um so genannte Hash-Codes von installierten Programmen und gespeicherten Daten oder Dateien. Das sind quasi, ja, Fingerabdrücke dieser Computerdateien. Zum Beispiel wenn Sie ein Programm aus dem Internet herunterladen, also immer dann, wenn man sich ein neues Programm aus dem Netz lädt, von CD oder USB Stick installiert, dann wird solch einen Fingerabdruck erzeugt und an die Hersteller der Schutz-Software übertragen. Und die bereiten dann diese Einzelmeldungen auf. Und da kommen dann bei den großen Herstellern täglich mehrere 100 Millionen solcher Datensätze rein, die alle korreliert, also in einen Zusammenhang gebracht werden müssen. Und dazu benutzen die Sicherheitsfirmen Methoden, die in der Computerbranche unter dem Stichwort "Big Data" zusammengefasst werden. Mit diesen Analysemethoden kann solch ein Sicherheitsnetz im konkreten Einzelfall binnen Millisekunden ohne Probleme erkennen, beispielsweise ob die Installationsdatei schon deshalb ein Risiko darstellt, weil sie vorher noch nie aufgetaucht ist. Und auch die Quellen werden dabei erfasst, woher die Dateien kommen. So werden dann zum Beispiel Webseiten, über die Schädlinge per Drive-by-Download verbreitet werden, schneller erkannt.
Raisig: Bei diesem Big-Data-Analysen geht es ja auch darum, die aufkommenden Gefahren vorhersehen zu können. Wie geht das denn?
Kloiber: Aus den vielen Millionen Datensätzen lassen sich natürlich auch typische Muster erkennen. Zum Beispiel wie sich Schädlinge oder Angriffsmethoden auf Computer Netzwerken ausbreiten. Wie der typische Zeitverlauf oder die regionale Verteilung von solchen Attacken ist. Und diese Muster, die kann man auch ziemlich differenziert betrachten, je nachdem, welcher Typ Schadenssoftware oder Angriffsvektor hier herausgehoben wird oder den man genau betrachten will. Das alles soll dann dazu führen, dass nicht nur die Treffsicherheit bei der Schädlingserkennung durch die Einbeziehung von solchen Verhaltensmustern deutlich erhöht wird, sondern auch die Reaktionszeiten sollen deutlich kürzer werden. Experten reden da von bis zu 24 Stunden.
Raisig: Herr Kloiber, jetzt noch ganz aktuell, da Sie ja von einer IT-Sicherheitskonferenz kommen und heute neue Vorwürfe gegen die NSA und den britischen IT-Geheimdienst bekannt wurden, dass sie auch die Netzwerke von Google und Yahoo! ausgespäht haben sollen. Haben denn diese Vorfälle jetzt eine neue Qualität erreicht?
Kloiber: Ja, ich würde sagen, sie haben eine neue Qualität, und die liegt vor allem im Angriffspunkt dieser Attacken. Während nämlich die bekannten Programmen wie "Prism" oder "Tempora" vor allem auf öffentliche Internetleitungen abgezielt haben und dort im großen Kommunikationsstrom quasi auf Schleppfang gingen, zielt "Muscular", dieses neue Programm ganz konsequent auf die internen Kommunikationsleitungen zwischen Data Centern von Google und Yahoo ab. Ein Schaubild der NSA in der "Washington Post" macht deutlich, wie das funktioniert: Denn während die Verbindungen zwischen den Kunden und Google und Yahoo, also da, wo "Prism" typischerweise angreift, verschlüsselt sind, findet der Datenaustausch zwischen den internen Systemen, den Data Centers dieser Unternehmen, wohl unverschlüsselt statt. Und das ist eigentlich ziemlich praktisch für die Geheimdienste. Deshalb greift hier auch "Muscular" ein. Und das macht dann auch ein grundsätzliches Problem klar: Auch verschlüsselte Kommunikation ist angreifbar, wenn sie nicht mit wirklich sicheren Systemen, [mit] durchgehend Ende-zu-Ende-Verschlüsselung betrieben wird.
Kloiber: Na ja, sie lassen sich von ihren Kunden berichten, was auf deren Computer so abgeht. Wer aktuell zum Beispiel so einen Virenscanner neu installiert, der wird ja zum Beispiel aufgefordert zuzulassen, dass sein Computer Reports an das Sicherheitsnetzwerk des Herstellers liefert. Und wenn man dann bei der Installation zustimmt, wird man Teil eines gigantischen Datennetzes, einer Datensammlung, bei der es einzig darum geht, weltweit als erster und in kürzester Zeit neue Computerschädlinge aufspüren zu können.
Raisig: Und welche Daten werden da genau übermittelt, und wie werden die dann ausgewertet?
Kloiber: Es geht im Wesentlichen um so genannte Hash-Codes von installierten Programmen und gespeicherten Daten oder Dateien. Das sind quasi, ja, Fingerabdrücke dieser Computerdateien. Zum Beispiel wenn Sie ein Programm aus dem Internet herunterladen, also immer dann, wenn man sich ein neues Programm aus dem Netz lädt, von CD oder USB Stick installiert, dann wird solch einen Fingerabdruck erzeugt und an die Hersteller der Schutz-Software übertragen. Und die bereiten dann diese Einzelmeldungen auf. Und da kommen dann bei den großen Herstellern täglich mehrere 100 Millionen solcher Datensätze rein, die alle korreliert, also in einen Zusammenhang gebracht werden müssen. Und dazu benutzen die Sicherheitsfirmen Methoden, die in der Computerbranche unter dem Stichwort "Big Data" zusammengefasst werden. Mit diesen Analysemethoden kann solch ein Sicherheitsnetz im konkreten Einzelfall binnen Millisekunden ohne Probleme erkennen, beispielsweise ob die Installationsdatei schon deshalb ein Risiko darstellt, weil sie vorher noch nie aufgetaucht ist. Und auch die Quellen werden dabei erfasst, woher die Dateien kommen. So werden dann zum Beispiel Webseiten, über die Schädlinge per Drive-by-Download verbreitet werden, schneller erkannt.
Raisig: Bei diesem Big-Data-Analysen geht es ja auch darum, die aufkommenden Gefahren vorhersehen zu können. Wie geht das denn?
Kloiber: Aus den vielen Millionen Datensätzen lassen sich natürlich auch typische Muster erkennen. Zum Beispiel wie sich Schädlinge oder Angriffsmethoden auf Computer Netzwerken ausbreiten. Wie der typische Zeitverlauf oder die regionale Verteilung von solchen Attacken ist. Und diese Muster, die kann man auch ziemlich differenziert betrachten, je nachdem, welcher Typ Schadenssoftware oder Angriffsvektor hier herausgehoben wird oder den man genau betrachten will. Das alles soll dann dazu führen, dass nicht nur die Treffsicherheit bei der Schädlingserkennung durch die Einbeziehung von solchen Verhaltensmustern deutlich erhöht wird, sondern auch die Reaktionszeiten sollen deutlich kürzer werden. Experten reden da von bis zu 24 Stunden.
Raisig: Herr Kloiber, jetzt noch ganz aktuell, da Sie ja von einer IT-Sicherheitskonferenz kommen und heute neue Vorwürfe gegen die NSA und den britischen IT-Geheimdienst bekannt wurden, dass sie auch die Netzwerke von Google und Yahoo! ausgespäht haben sollen. Haben denn diese Vorfälle jetzt eine neue Qualität erreicht?
Kloiber: Ja, ich würde sagen, sie haben eine neue Qualität, und die liegt vor allem im Angriffspunkt dieser Attacken. Während nämlich die bekannten Programmen wie "Prism" oder "Tempora" vor allem auf öffentliche Internetleitungen abgezielt haben und dort im großen Kommunikationsstrom quasi auf Schleppfang gingen, zielt "Muscular", dieses neue Programm ganz konsequent auf die internen Kommunikationsleitungen zwischen Data Centern von Google und Yahoo ab. Ein Schaubild der NSA in der "Washington Post" macht deutlich, wie das funktioniert: Denn während die Verbindungen zwischen den Kunden und Google und Yahoo, also da, wo "Prism" typischerweise angreift, verschlüsselt sind, findet der Datenaustausch zwischen den internen Systemen, den Data Centers dieser Unternehmen, wohl unverschlüsselt statt. Und das ist eigentlich ziemlich praktisch für die Geheimdienste. Deshalb greift hier auch "Muscular" ein. Und das macht dann auch ein grundsätzliches Problem klar: Auch verschlüsselte Kommunikation ist angreifbar, wenn sie nicht mit wirklich sicheren Systemen, [mit] durchgehend Ende-zu-Ende-Verschlüsselung betrieben wird.