Hacker-Studium IT-Sicherheit: "Amerika hat einen Kulturvorsprung"

Risiken in Zeiten    der Digitalisierung

Hacker-Studium IT-Sicherheit: "Angriff und Verteidigung sind eine Einheit"

"Amerika hat einen Kulturvorsprung"

Ist die kritische Infrastruktur wie die Strom- und Wasserversorgung ausreichend geschützt?
Da kann ich nur spekulieren, ich habe keinen Einblick in die tatsächlichen Sicherheitsvorkehrungen. Auf meine Nachfrage zu einem Vortrag wurde mir zum Beispiel mitgeteilt, dass in den Steuerungssystemen der Bahn Spezialsoftware verwendet wird. Dort werden also keine Webbrowser genutzt wie heute in vielen Bereichen, sondern eigens geschriebene Anwendungen. Ein Angreifer müsste deshalb zunächst Informationsgewinnung betreiben.

Wie sieht so etwas aus?
Die Internettechnologien TCP/IP und HTTP/HTML sind Fluch und Segen zugleich: Sie ermöglichen es auf der einen Seite, in Rekordzeit neue verteilte Anwendungen zu erstellen, auf der anderen Seite gibt es auf Seiten der Angreifer viel Know-How zu diesen Standards. Um ein konkretes Beispiel zu nennen: Der Online-Banking-Standard HBCI der deutschen Banken war nie Gegenstand von Angriffen, da die Angreifer erst hätten herausfinden müssen, wie er überhaupt funktioniert. Das Browser-basierte Onlinebanking wie wir es heute nutzen ist aber seit 2004 massiven Angriffen ausgesetzt, da hier nur die den Angreifern wohl bekannten Internettechnologien eingesetzt werden.

Was für erfolgreiche Angriffe gab es auf Maschinen oder Anlagen?
2014 stand im Bericht des Bundesamts für Sicherheit in der Informationstechnik, dass es einem Angreifer gelungen war, den Hochofen eines Stahlwerks zu manipulieren. Man muss damit rechnen, dass so etwas bei den meisten großen Firmen möglich ist. Die meisten Firmen gehen aber leider mit ihren internen Sicherheitsproblemen nicht auf die Unis zu.

Die Unternehmen nehmen die Bedrohung noch nicht ernst genug, um sich Rat von außerhalb zu suchen?
Es ist ein Problem der Bewertung von Sicherheitsrisiken. In Krankenhäusern wurden Erpressungstrojaner eingesetzt. Das hat eine große Aufmerksamkeit geschaffen für die Notwendigkeit von Datenbackups – anscheinend war das vorher nicht der Fall. Es ist zu befürchten, dass es noch einige Sicherheitsvorfälle braucht, bis das Bewusstsein ausreichend geschärft ist.

Wie gut aufgestellt ist Deutschland im Vergleich mit anderen Ländern bei der IT-Sicherheit?
Amerika hat uns gegenüber einen Kulturvorsprung beim offenen Umgang mit den eigenen Sicherheitslücken. Ein gutes Beispiel sind Bug-Bounty-Programme. Fast jede große US-Firma hat ein solches Programm. Da werden Belohnungen ausgelobt für das Entdecken und Melden von Sicherheitsschwachstellen in den eigenen Produkten. Eine kontinuierliche Suche nach den eigenen Schwachstellen, indem man auf die große Masse der Sicherheitsforscher zurückgreift, gibt es in Deutschland nicht.

Anzeige
Anzeige
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%