Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 13. Juli 2017, Ausgabe Nr. 28

Donnerstag, 13. Juli 2017, Ausgabe Nr. 28

IT-Sicherheit

„Die Angriffe machen Schule“

Von Christiane Schulzki-Haddouti | 13. Juli 2017 | Ausgabe 28

Über die Folgen des jüngsten Cyberangriffs sprachen die VDI nachrichten mit dem IT-Sicherheitsforscher Sandro Gaycken, der auch Bundesregierung und Nato berät.

Bildartikel zu sandro-gaycken_photo.jpg
Foto: Annette Koroll/ESMT Berlin

 Sandro Gaycken, IT-Sicherheitsforscher zur Petya-Attacke: „Diese Cyberangriffe sind ein ziemlicher Showstopper für Industrie-4.0-Vorhaben.“

VDI nachrichten: Wer ist von dem Erpresser-Trojaner Petya, der seit Ende Juni viele Rechner weltweit lahmlegt, betroffen?

Sandro Gaycken: Ich weiß das auch nur aus der Berichterstattung. Demnach waren Unternehmen zunächst in der Ukraine, dann aber auch in Deutschland, Großbritannien, Polen, Russland, Serbien und USA betroffen. Ich selbst habe von einigen größeren Unternehmen in Deutschland erfahren, dass es sie erwischt hat.

Sandro Gaycken

Wie ist der Angriff einzuschätzen, denn ganz neu ist das nicht: Vor einigen Jahren löschte ein Schädling namens Shamoon in saudi-arabischen Ölkonzernen Daten in großem Umfang.

Neu war hier die Kombination von Ransomware und Wurm, was die Weiterverbreitung massiv beförderte. Würmer hat niemand richtig unter Kontrolle. Ähnliches hatten wir auch schon vor wenigen Monaten mit dem Löschangriff von StoneDrill gesehen, der auf Unternehmen in Europa und im Mittleren Osten abzielte.

Kann man schon abschätzen, wie groß der angerichtete Schaden ist?

Das ist schwierig, denn die Schäden sind sehr individuell, je nachdem, an welcher Stelle es ein Unternehmen getroffen hat. Wenn Back-ups von kritischen Daten gelöscht wurden, kann es katastrophal sein. Etwa, wenn Daten zu bestimmten Projekten auf diese Weise verloren gingen. Das kann schnell in die Millionen gehen.

Wie gut sind Unternehmen in Sachen Cybersicherheit aufgestellt?

Nicht so berauschend: Kleine und mittelständische Unternehmen haben für IT-Sicherheit weder Geld noch Personal. Bei Großkonzernen, die aufgrund von vielen Mergers & Acquisitions sehr heterogene IT-Landschaften mit unterschiedlichen Geräten und Konstellationen haben, wird es kaum festzustellen zu sein, welches der 80 000 Geräte welchen Patch-Status hat. Damit gibt es natürlich genügend Einfallstore. Es ist wirklich schwer, flächendeckend Sicherheit herzustellen.

 Was bedeutet das für Industrie 4.0?

Diese Cyberangriffe sind ein ziemlicher Showstopper für Industrie-4.0-Vorhaben. Ich kenne viele Unternehmen, die nicht ans Internet angebunden werden wollen. In der Praxis sind alle sehr skeptisch, manche haben die Kabel zum Internet bereits ganz bewusst gekappt.

Wie können Unternehmen jetzt Schadensbegrenzung betreiben?

Sie können sich natürlich an die allgemeinen Best-Practice-Empfehlungen halten: Die Software auf dem aktuellen Stand halten, Back-ups vornehmen, Antivirensoftware installieren. Teilweise stehen hinter diesen Aktivitäten aber komplexe Implementierungsaufgaben, die manche Unternehmen gar nicht bewältigen können. Denn etliche Standardprodukte sind ziemlich räudig, aber das erfährt man meist hinterher.

Die Grundlage des Petya-Trojaners und von Wanna Cry stammt vom US-Geheimdienst. Befinden wir uns in einer Aufrüstungsspirale?

Die Leaks von CIA und NSA sind ein Problem, weil Kriminelle und andere davon lernen und effizienter werden können. Ich empfehle, auf Hochsicherheitssysteme mit zertifizierter Hardware umzuschwenken. Es gibt technische Lösungen, die man jetzt auf industriellen Niveaus verfügbar machen muss.

Was würden Sie persönlich denn tun?

Ich selbst setze lieber auf IT-Systeme, für die es weniger Angreifer gibt. Die Apple-Produkte gehören dazu, aber auch bestimmte Linux-Produkte, für die es keine breite Expertise gibt und deren Codereife hoch ist. Man muss gerade bei Linux genau hinsehen und abwägen. Denn gängige Systeme haben in der Regel ja einen guten Support, anders als viele kleine Freie-Software-Projekte. Man kann auch auf Hochsicherheitssysteme wie das Betriebssystem SeL4 umschwenken. Hier kenne ich ein Industrieprojekt im Verteidigungsbereich der Firma Hensoldt, die solch ein System industrialisieren. Auch Boeing arbeitet daran, aber das ist für den deutschen Markt erst mal weniger interessant.

Nato-Generalsekretär Jens Stoltenberg plädiert dafür, die Verteidigung bei Cyberangriffen auszubauen, weil sie die Verpflichtung zur kollektiven Verteidigung auslösen können. Wie soll das denn gehen?

Das ist Säbelrasseln. Alles Mögliche kann den Verteidigungsfall auslösen, wenn es äquivalent zu einem militärischen Angriff ist. Aber wenn ich einen Angreifer nicht identifizieren kann, macht das wenig Sinn. Gleichwohl hat dieses Säbelrasseln auch bereits dazu geführt, dass einige Angreifer vorsichtiger geworden sind.

Müssen Unternehmen erfahren, wer hinter den Angriffen steckt?

Das ist für die Unternehmen irrelevant. Sie möchten viel eher wissen, ob so ein Angriff nur einmal passiert oder ob sie damit jede Woche rechnen müssen. Der Trend geht aber hin zu immer häufigeren Attacken, denn die einzelnen Angriffe machen Schule. Es hat sich herumgesprochen, dass die Unternehmen bezahlen und dass bisher mangels belastbarer Beweise niemand verhaftet wurde. Solange ich also niemanden verklagen kann, nutzen mir die Spekulationen über mögliche Angreifer nichts.

Sollten Unternehmen wie jetzt kürzlich in Indien angesichts der steigenden Attacken auf ältere Windows-Versionen starke Preisnachlässe für Windows-10-Upgrades verlangen?

Auf jeden Fall. Es ist ganz wichtig, dass die Anwender den Druck auf die IT-Industrie erhöhen, die lieber ihr Geld in Lobbying als in IT-Sicherheit investiert. Der Druck muss vom Kunden kommen, denn die Politik kriegt das nicht hin. Die Anwender müssen ihre Anforderungen in ihre Spezifikationen reinschreiben und sich zusammenschließen.

Warum sind Sie hier so zuversichtlich?

Als einige Konzerne sich zusammenschlossen und von SAP in ihren Spezifikationen Nachbesserungen verlangten, gab SAP etwas nach. Die Anwender müssen sich aber auch im Klaren sein, dass sie die großen Softwareversager nicht mehr in kritischen Funktionen verbauen können. Es ist grausam, wo heute überall noch Windows-XP-Systeme eingesetzt werden. Die Verbraucher können die Konsumelektronik weiterhin problemlos nutzen. Aber wenn es um Autos, Atomkraftwerke und andere kritische Infrastrukturen geht, brauche ich Systeme, die machen, was sie machen sollen.

Das Bundesamt für Sicherheit in der Informationstechnik, das BSI, hat kürzlich Mindeststandards für IT-Sicherheit in kritischen Infrastrukturen definiert. Wird das etwas ändern?

Die Mindestanforderungen des BSI sind sehr niedrig aufgehängt. Es gibt keine Implementierungsvorschläge. Einige Empfehlungen sind sogar wenig hilfreich. Virenscanner beispielsweise sind für den normalen Anwender zu empfehlen, in kritischen Bereichen können sie aber Schwachstellen aufreißen, was einen Nettoverlust an Sicherheit bedeuten kann. Bei niedrigem Risikoportfolio sind Virenscanner gut, bei einem hohen Angriffsrisiko nicht.rb

stellenangebote

mehr