Unentschieden – das Wettrennen um IT-Sicherheit

28.06.2022

Cyberangriffe auf Einrichtungen aus Bildung und Forschung haben in den vergangenen Jahren stark zugenommen. Um sich vor ihnen zu schützen, sind weitreichende Maßnahmen notwendig – sowohl technischer als auch organisatorischer Natur. Welche das sind und wie wichtig ein gemeinsames Verständnis für Sicherheitsfragen in der Wissenschaftscommunity ist, erklärt Sicherheitsexperte Prof. Dr. Klaus-Peter Kossakowski im Interview.

Sicherheit muss stets von Anfang an mitgedacht werden: diese Lektion hat Prof. Dr. Klaus-Peter Kossakowski bereits 1988 in vier Semestern IT-Sicherheit verinnerlicht (Foto: ©DFN)

Sie sind seit mehr als 35 Jahren als Berater in der Informationssicherheit tätig. Gibt es etwas, was
Sie noch überrascht?

Ja, in der Tat. Wie sehr wir immer noch am Anfang stehen! In meinem Beratungsalltag höre ich oft die Frage: Was muss ich tun, um sicher zu sein? Dann frage ich in der Regel zurück: Sicher wovor?
Die erste Hürde für ein Sicherheitskonzept ist, sich darüber Klarheit zu verschaffen, welche Werte konkret geschützt werden sollen und welche Sicherheitsanforderungen sich daraus ergeben. Beispielsweise bei der Frage, ob Daten in der Cloud verschlüsselt werden müssen, ist erst einmal zu klären, welche Daten darauf abgelegt sind: Gesundheitsdaten, Daten zur Religionszugehörigkeit oder Daten für Bezahlvorgänge? Oft mache ich die Erfahrung, dass Verantwortliche das nicht beantworten können.

Streng genommen müsste ich in so einem Fall zum größten Schutz raten, weil ich die Anforderungen nicht kenne und damit das Risiko schlecht einschätzen kann. Aber auf Nummer sicherzugehen und stets die maximale Sicherheit anzustreben, ist definitiv nicht durchsetzbar, nicht finanzierbar – und schon gar nicht notwendig.

Welche Angriffsflächen bieten Hochschulen und Forschungseinrichtungen?

Im Hochschul- und Forschungsbereich haben wir eine offene Kultur und gehen sehr kooperativ miteinander um. Dadurch bieten wir eine größere Angriffsfläche als sehr restriktive und geschlossene Umgebungen.

Besonders empfindliche Bereiche sind die Verwaltung, aber auch das Prüfungswesen. Einrichtungen, die an innovativen Forschungsprojekten und technologischen Neuentwicklungen arbeiten, z. B. in Kooperationen mit Industrie- und Wirtschaftsunternehmen, sind ein begehrtes Angriffsziel. Das ist erwiesene Strategie von bekannten Staaten, sich durch einen privilegierten schnellen Zugriff auf Forschungsergebnisse einen erheblichen Entwicklungsaufwand zu sparen – oft ein Vorsprung von Jahren und nicht zuletzt ein immenser wirtschaftlicher Faktor.

Von wem gehen solche Angriffe aus?

Die Masse der Angriffe geht von externen Angreifern aus. Diese sind Untersuchungen zufolge jung, dynamisch und technisch interessiert. Dabei sind externe Angreifer zunächst im Nachteil, da sie nicht wie Insider über konkretes Wissen der eingesetzten Systeme verfügen, oder sogar direkt mit entsprechenden Berechtigungen auf die Informationen zugreifen können, die das Ziel des Angriffs darstellen. Tatsächlich können Insider-Angriffe deutlich gefährlicher sein als externe Angriffe. Aber im Gegensatz zu Firmen des Finanzwesens oder der Wirtschaft gibt es in Hochschulen und Forschungseinrichtungen erheblich weniger finanziell relevante Angriffsziele.

„Tatsächlich können Insider-Angriffe deutlich gefährlicher sein als externe Angriffe.“

Die angegriffenen IT-Systeme und Anwendungen haben sich sehr stark verändert, weniger im Hinblick auf die eingesetzten Kommunikationsprotokolle, als auf die Komplexität und Flexibilität.

Die meisten Geräte sind heute frei programmierbar, verfügen über Erweiterungsschnittstellen und können von jedem konfiguriert werden. Allerdings entstehen dabei viele Schwachstellen, die die Systeme erst verwundbar machen. Ganz andere Möglichkeiten haben Angreifer, die von fremden Staaten gezielt beauftragt oder zumindest gefördert oder geduldet werden. Während die gleichen Schwachstellen durch solche Angreifer ausgenutzt werden, sind die eingesetzten Werkzeuge viel spezieller und eben nicht im Internet für andere Täter verfügbar, sondern eigens entwickelt. Und dieser Aufwand ermöglicht erfolgreiche Angriffe auch auf sehr gut geschützte Einrichtungen wie z. B. den Deutschen Bundestag.

Das klingt, als ob wir uns künftig permanent auf Abwehr einstellen müssen.

Eine ständige Bedrohung, auch für Forschungsnetze, sind sogenannte Verfügbarkeitsangriffe. Sie sind leicht durchzuführen und schwer zurückzuverfolgen. Manchmal gehen sie mit der Forderung einer „Schutzgebühr“ einher. Hier handelt es sich schlicht um die „Digitalisierung“ der Schutzgelderpressung.

Aber es geht auch um Informationen, die attraktiv sind – insbesondere neue Forschungsergebnisse oder Einblicke in Kooperationen mit der Wirtschaft. Informationen gegen Unbefugte zu verteidigen, wird ein ewiges Kopf-an-Kopf-Rennen bleiben. Dabei kochen die Angreifer auch nur mit Wasser. Früher entwickelten die meisten ihre eigenen Werkzeuge selbst. Viele von ihnen waren fachlich so gut wie diejenigen, die die Systeme und Schutzmaßnahmen entwarfen und entwickelten. Heute werden Werkzeuge und Plattformen angeboten, die alle benutzen können, ohne auch nur ansatzweise zu wissen, wie die Angriffe auf Netzwerkebene funktionieren. Das interessiert die Hacker auch gar nicht. Sie haben ein Tool und das bietet ihnen innerhalb kurzer Zeit genügend gekaperte Rechner im Internet, die wiederum als Bot-Netz für weitere Angriffe eingesetzt oder vermietet werden. Und so gibt es die Leute, die die Werkzeuge entwickeln – wenige im Vergleich – und genügend andere, die diese einsetzen wollen.

Je schneller wir entdecken, dass ein Angriff stattfindet und das Wissen an die richtigen Organisationen weitergeben können, desto eher gewinnen wir das Wettrennen: Computer- Notfallteams werten die Angriffstechniken aus, um neue Trends zu erkennen; Produktsicherheitsteams schließen die Sicherheitslücken in den Produkten; Betroffene müssen ihre Systeme überprüfen und „aufräumen“. Zusammen müssen wir verhindern, dass das kompromittierte System für weitere Angriffe eingesetzt wird, aber auch, dass das Wissen über neue Schwachstellen schnell umgesetzt werden kann. Nur dadurch werden Schäden und Folgeschäden eingedämmt.

„Es muss möglich sein, über Schwachstellen zu sprechen.“

Die konkrete und weiter zunehmende Abhängigkeit von sozio-technischen Systemen – die Verquickung zwischen Menschen, die für Systeme verantwortlich sind, und Technik, die Schwachstellen aufweist – sorgen dafür, dass wir fortwährend ein ausreichendes Maß an Aufwand für Sicherheit investieren müssen.

Es ist keine Überraschung, dass das die gleiche Diskussionslinie ist, die wir auch in anderen Sicherheitsbereichen gerade beobachten können.

Woher stammen die Angriffswerkzeuge?

Teils werden diese aus sogenannten „Proof of Concept“ weiterentwickelt, da die Demonstration einer Schwachstelle oft bereits das Wissen beinhaltet, wie diese ausgenutzt wird. Andere Werkzeuge werden aus den Sicherheitsupdates abgeleitet, die von den Herstellern bereitgestellt werden, um gerade Schwachstellen zu schließen. Aber indem diese aufzeigen, wo genau eine Schwachstelle vorhanden war, kann daraus – sogar automatisiert – ein Angriff abgeleitet werden.

Und dann gibt es auch gezielte Veröffentlichungen, um z. B. auf eine Schwachstelle aufmerksam zu machen. Die detaillierte Veröffentlichung ist sicherlich in den allermeisten Fällen kontraproduktiv, trotzdem muss es möglich sein, über Schwachstellen zu sprechen. Es gibt schon sehr lange die Diskussion wie eine verantwortungsvolle Aufdeckung, ungenau übersetzt mit „Responsible Disclosure“, so gestaltet werden kann, dass Angreifende keinen Nutzen ziehen können, aber die „Verteidigung“ genügend Informationen hat, um ihre Aufgaben erfolgreich durchführen zu können. Die Diskussion wird weitergehen, aber es ist klar, dass Sicherheitslücken offengelegt werden müssen, wenn Hersteller sich beispielsweise weigern, diese zu schließen – aber ohne, dass Organisationen und Firmen, die diese Schwachstellen noch nicht schließen konnten, gefährdet werden.

Wir wissen heute, dass wir jederzeit bisher noch unbekannten Angriffen ausgesetzt sein können, die dann auch Erfolg haben werden. Doch wer genau betroffen ist und wie groß die Schäden sein werden, hängt ganz entscheidend davon ab, wie gut die jeweiligen Organisationen ihr Informationssicherheitsmanagement aufgesetzt haben und welche lokalen Sicherheitskonzepte Schlimmeres verhindern können.

„Notwendig sind Sicherheitskonzepte, die auf die Bedarfe der Einrichtungen zugeschnitten sind.“

Was müssen Sicherheitskonzepte leisten?

Notwendig sind Sicherheitskonzepte, die auf die Bedarfe der Einrichtungen zugeschnitten sind. Jedes Konzept muss die Balance halten zwischen der Höhe des Risikos in Form des zu erwartenden Schadens im Verhältnis zu den Kosten der Sicherheitsmaßnahmen und dem Aufwand, diese aufzubauen und in die Prozesse der jeweiligen Einrichtung zu integrieren.

Einzelne Aufgabenbereiche wie das Logdatenmanagement oder der Grundschutz von Arbeitsplätzen haben dabei nicht nur eine technische Ebene, sondern auf jeden Fall auch eine organisatorische Ebene, unabhängig von der Wirtschaftlichkeit und Umsetzbarkeit. Zunächst müssen Sicherheitsziele definiert werden, die dann durch die geschickte Kombination geeigneter Maßnahmen erreicht werden. Dafür benötigt jede Hochschule und Forschungseinrichtung zwingend eine Delegation der Verantwortung an sogenannte Informationssicherheitsbeauftragte, die die Aufgabe haben, ein Informationssicherheitsmanagementsystem aufzubauen. Diese sind geschult darin, interne Gefahrenlagen individuell zu erfassen und zu beurteilen. Erst dann kann eine sinnvolle Abdeckung erreicht werden. Wobei wie immer gilt, dass auch Teilkonzepte bereits Angriffe verhindern oder abwehren können.

Zusätzlich zu den internen Maßnahmen nutzen Einrichtungen externe Dienste von Computer Emergency Response Teams (CERT). Was ist die Aufgabe dieser Fachleute?

Ihre Aufgabe ist es unter anderem, Betroffenen bei erkannten Sicherheitsvorfällen zeitnah zu helfen und Informationen zu aktuellen Schwachstellen zu liefern. CERTs werten aktuelle Angriffsmuster aus, um die bestmögliche Informationslage für die betreuten Einrichtungen zu erreichen. Was wir durch CERTs nicht direkt in den Griff bekommen sind zwei entscheidende Faktoren: Der eine betrifft die teilnehmenden Einrichtungen selbst: Von außen haben CERTs keinen Einblick in die Organisation und die internen Verantwortlichkeiten. Sie wissen beispielsweise nicht, welche Daten ausgewertet werden, welche verfügbar oder wie diese beschaffen sind. Das können nur die internen Verantwortlichen sowie die eigentlichen Endnutzer lokal beurteilen.

Das deckt sich übrigens mit der Bewertung des notwendigen Datenschutzes, die ohne ein detailliertes Verständnis der Verarbeitungsprozesse ebenfalls nicht möglich ist. Dazu kommt, dass die Einrichtungen organisatorisch sicherstellen müssen, dass die Warnmeldungen nicht zuletzt über geeignete interne Kommunikationswege zeitnah weitergegeben werden. Die entsprechende Bearbeitung muss in Prozessen verankert werden, die Teil des Sicherheitskonzepts sind.

Das Bewusstsein für und das Beheben von technischen Schwachstellen sowie die Gewährleistung eines sicheren, zuverlässigen, technischen Betriebs ist wiederum eine ständige Aufgabe, die bei den Rechenzentren liegt.

Was hat es mit dem zweiten Faktor auf sich?

Der zweite Faktor betrifft die Suche nach potenziellen Bedrohungen. Dafür werden Threat-Analysten oder Threat-Hunter eingesetzt. Anhand von Hypothesen und Auswertungen von erfolgreichen Angriffen erkennen und suchen sie bestimmte Muster und Spuren der Angriffswerkzeuge. Ziel ist dabei, Regeln abzuleiten, die automatisiert umgesetzt werden können.

Die lokalen Hochschulrechenzentren sind zwar dafür da, den Betrieb für ihre Einrichtung zu gewährleisten, sie können aber nicht zu weltweit führenden Fachleuten im Erkennen neuer Angriffsmuster werden, zumal dies auch insgesamt unwirtschaftlich wäre. Es ist schneller und zielführender, wenn dafür ausgebildete Analysten Muster extrahieren und in internationaler Zusammenarbeit mit anderen Fachleuten Hypothesen aufstellen und verifizieren, bevor entsprechende Warnungen ausgegeben werden. Was dann vor Ort gebraucht wird, sind wiederum die Verantwortlichen, die die bereitgestellten Informationen weiterbearbeiten. Schlussendlich ist Sicherheit eine gemeinsame Aufgabe von Fachleuten – interner wie externer.

Inwieweit hängt der Erfolg Ihrer Arbeit davon ab, wie gut die Hochschulen aufgestellt sind in puncto Sicherheit?

Der Schutz einer offenen Gemeinschaft wie der Hochschul- und Forschungslandschaft bedarf der Anstrengung aller. Wir stellen uns über Organisationsgrenzen hinweg gegenseitig Rechnerleistungen oder Speicherkapazitäten zur Verfügung und wir bauen unsere eigenen Ergebnisse auf den Forschungsergebnissen anderer auf.

„Sicherheitsfragen gehen alle etwas an.“

Darum muss es auch ein gemeinsames Verständnis für Sicherheitsfragen geben. Das stärkt letztendlich auch unser Zusammengehörigkeitsgefühl, weil jede Einrichtung nicht nur von der eigenen Sicherheit abhängt, sondern auch von der Infrastruktur – Netz und zentrale Dienste – sowie den Ressourcen der anderen Einrichtungen, die wir brauchen und die uns helfen, unsere Leistung zu erbringen.

Sicherheit ist eine Querschnittsaufgabe, die jede Person in einer Organisation oder Gemeinschaft betrifft. Egal, ob ich in der Hochschulverwaltung arbeite oder zu den Studierenden gehöre. Sobald ich eine E-Mail öffne, die eine Malware beinhaltet, habe ich diese quasi in die Infrastruktur bzw. zur Ausführung gebracht. Sicherheitsfragen gehen damit alle an.

Zum Schluss: Was geben Sie dem Nachwuchs in der IT-Sicherheit mit auf den Weg?

Als junger Mensch bewegt man sich hier in einem wahnsinnig spannenden und herausfordernden Themenfeld. Ich nenne ein Beispiel: Zu Beginn des Ukraine-Krieges hat die CERT-Community überlegt, was nun zu machen ist. Innerhalb von einer Stunde organisierten wir eine Videokonferenz mit über 250 CERT-Teams aus ganz Europa und tauschten uns darüber aus, welche Konsequenzen diese Krise hat – für die Kolleginnen und Kollegen aus der Ukraine, aber auch aus Russland und Belarus, mit denen wir über Jahrzehnte zusammengearbeitet haben – aber auch für uns und unsere Zusammenarbeit selbst. Es war äußerst lehrreich, sich bewusst zu machen, dass keiner von uns über alle Informationen verfügt, sondern wir darauf angewiesen sind, uns auszutauschen und eine gemeinsame Vorgehensweise zu entwickeln.

Klaus-Peter Kossakowski ist Professor für IT-Sicherheit an der HAW Hamburg & Geschäftsführer der DFN-CERT Services GmbH. 2019 erfolgte die Aufnahme in die FIRST Incident Response Hall of Fame. Seit 2003 ist er ständiger Gast im Ausschuss für Recht und Sicherheit des DFN & ständiges Mitglied im Programmausschuss des BSI-Kongresses sowie der jährlichen Konferenzen von FIRST und DFN-CERT.

Das Ermutigende im CERT-Bereich ist, dass es über alle Organisationsgrenzen hinweg ein tiefes Verständnis dafür gibt, Verantwortung zu übernehmen und gut zusammen – zu arbeiten, weil es gemeinsame Probleme gibt, die wir bekämpfen müssen. Erst hierdurch können wir auch global etwas bewegen und damit einen Unterschied machen!

Die Fragen stellte Maimona Id