Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 14. Dezember 2017

IT-Sicherheit

Erfolge im Kampf gegen Cyberangriffe

Von Michael Matzer | 18. Oktober 2013 | Ausgabe 42

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet Erfolge im Kampf gegen Cyberangriffe. Doch die Angriffsflächen nehmen zu, etwa durch Industrie 4.0, in Industriekontrollsystemen und durch Near Field Communication. Abhilfe schaffen automatisierte Scanner zum Aufspüren von Sicherheitslücken.

A42 S9 A

Das Leben der Bürger und Unternehmen wird zunehmend von der Digitalisierung durchdrungen, vom Handy bis zum Stromzähler. Doch das Vertrauen der Bürger in die Sicherheit ihrer Daten, so hat der Bitkom-Verband im Juli herausgefunden, ist seit der NSA-Spähaffäre drastisch gesunken.

Die Bundesregierung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bitkom als Industrieverband verfolgen diese Entwicklung mit Besorgnis. Diese Gestalter der deutschen IT-Sicherheitspolitik stellten kürzlich einen Maßnahmenkatalog vor.

Weil das BSI täglich eine hohe Anzahl von Angriffen auf die Bundesverwaltung abwehren muss, will die Bundesregierung seine Kompetenzen ausbauen. Dazu gehört die Beratung von Kleinen und mittleren Unternehmen (KMU) durch Basisprüfungen von deren IT-Sicherheitstechnik. Andreas Könen, Vizepräsident des BSI, berichtet von ersten Erfolgen: "Wir haben konzertierte DDoS-Attacken mit Zehntausenden gekaperter Rechner gesehen, die eine Wucht von 100 Gbit/s entwickelt haben." Doch weil das BSI die Firmen und Provider für solche Angriffe, die Server in die Knie zwingen und Firmen erpressbar machen sollen, sensibilisiert habe, hätte diese Art der Cyberattacken fast aufgehört.

Das BSI macht sich für die Einführung des jüngsten E-Mail-Verschlüsselungsstandards TLS/SSL 1.2 bei Behörden stark und empfiehlt verschlüsselte Smartphones nicht nur für Behörden, sondern auch für sicherheitsbewusste Unternehmen. Bei den Schädlingen, die auf Android-basierten Endgeräten zu finden sind, wurde kürzlich die Marke von 1 Mio. geknackt. Mit der Einführung von Near Field Communication (NFC) in Bezahlverfahren kommt eine weitere Gefahrenquelle hinzu.

Der nächste Kriegsschauplatz dürfte unter anderem "Industrie 4.0" mit ihrer Erschließung von Maschinen fürs Internet sein. Werner Holz, Präsidiumsmitglied des Bitkom, sieht Industrie 4.0 in Gefahr und damit auch den Wettbewerbsvorteil des Standorts Deutschland. Dem anhaltenden Vertrauensverlust der Bürger müsse die Politik durch maximale Transparenz entgegentreten. Er fordert von den IT-Unternehmen aus den USA entsprechende Auskünfte.

Claudia Eckert, die Leiterin der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (Aisec), sieht die Möglichkeiten zur Härtung von herkömmlichen Industriekontrollsystemen (ICS/SCADA) skeptisch. Sie sind zwar das Herzstück der deutschen Industrie und Infrastruktur, etwa in Energieversorgung und Verkehr, doch sie zu aktualisieren sei alles andere als einfach: "Weil sie zertifiziert sind, dürfen sie oft nicht verändert werden." Deshalb denkt sie an technische Schutzwälle um diese Kronjuwelen der Industrie bzw. Infrastruktur und fordert eine neue Generation inhärent abgesicherter ICS-Systeme. Diese neue Technologie müsse die deutsche Industrie zusammen mit dem BSI selbst entwickeln. Sie will fremden Hintertürchen keine Chance geben.

KMU bekommen nicht nur vom BSI Angebote zum Scannen ihrer IT-Infrastruktur. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat mit "Appicaptor" ein Testwerkzeug für Unternehmen vorgestellt, das Apps auf iOS- und Android-Geräten darauf prüft, ob sie Sicherheitsvorgaben einhalten.

Bei 300 von 400 der beliebtesten Business-Apps war dies nicht der Fall. Anbieter wie Skybox Security, die dramatische Anstiege bei der Zahl der IT-Schwachstellen festgestellt haben (s. Kasten), offerieren verschiedene Scanner. Damit sollen sich Sicherheitslücken in Netzwerken und Webanwendungen aufspüren lassen.

"Hacker-in-a-box" nennt das schwedische Unternehmen Outpost24 einen seiner Scanner. Der Begriff "Hacker" war ursprünglich positiv besetzt, weist aber nun einen üblen Beigeschmack auf. "Gute Hacker" finden aber zunehmend Einsatz in sogenannten Bug-Bounty-Programmen. Gegen eine Belohnung suchen diese Bug-Jäger u. a. bei Google, Microsoft und Facebook nach Schwachstellen. Die Belohnungen für gefundene Bugs steigen kontinuierlich, wie Bugcrowd.com berichtet. Auf dieser Plattform heißen Hacker "Ninjas".

Cloud-Dienste wie die von HP oder IBM erweitern das Spektrum der Angebote um automatisierte Verfahren, die ein Unternehmen im Internet abonnieren kann. Da sich die Gefahrenlage von Monat zu Monat ändert, sind regelmäßige Scans unerlässlich. Sebastian Schreiber, dessen Firma Syss solche Penetrationstests ausführt, warnt: "Einfache Maßnahmen existieren nicht – das IT-Security-Konzept muss in Gänze stimmig sein." MICHAEL MATZER

Die Gefahr wächst rasant: In den letzten zehn Jahren hat sich die Zahl der Schadsoftware um ein Vielfaches erhöht. Ein Ende dieses exponentiellen Wachstum ist unwahrscheinlich.

stellenangebote

mehr