IT-Sicherheitskonzepte

Freund oder Feind: Der Fremde auf dem Beifahrersitz und im Netzwerk

Von Christian Raum · 2019

Schützen IT-Sicherheitskonzepte vor Geheimdiensten und kriminellen Hackern – oder macht der Wettstreit der Technologien und der Kampf um die Daten im Gegenteil die Attacken und Gegenattacken stärker und zerstörerischer und zu einer Bedrohung für die Wirtschaft? Der Kampf zwischen Angreifern und Verteidigern ist voll entbrannt und der Ausgang ist ungewiss.

Stacheldrahtzaun mit Lücke
Foto: iStock/Adam Calaitzis

Wenn von angreifbaren und extrem unsicheren Infrastrukturen die Rede ist, steht der Straßenverkehr immer an einer der vordersten Stellen. Denn auch ganz ohne Cyberangriffe und Hackerattacken zählte das Statistische Bundesamt für das Jahr 2019 im August bereits 1.465 getötete Menschen, 178.544 Menschen wurden seit Anfang Januar verletzt.

Und der Straßenverkehr zeigt exemplarisch das Dilemma der kritischen Infrastrukturen. Denn die Erwartung ist es, mit der Absicherung von Netzwerken, Rechenzentren, Produktionssystemen und Anlagen Wirtschaft und Gesellschaft vor Risiken zu schützen und Menschenleben zu retten. 

So verbinden Politik und Industrie mit dem Einsatz der künstlichen Intelligenz die Erwartung, dass smarte Systeme, Cloudanwendungen und Rechenzentren bald aktiv in den Verkehr eingreifen. Zunächst werden sie nur den Fahrern assistieren. Doch schon in einigen Jahren sollen sie die Fahrzeuge und den Verkehr steuern und damit sicherer machen.

Doch im selben Maße, in dem die IT-Sicherheitssysteme die Industrie schützen, steigt die Bedrohung durch immer neue Angriffsmethoden der kriminellen Hacker, durch immer neue Softwarefehler bei den Herstellern oder auch durch das Versagen oder Unwissen der Verteidiger.

Sicherheit für Straßenverkehr

Ich bin zu Besuch bei einer Konferenz, auf der Ingenieure ihre Sicherheitslösungen für den Straßenverkehr diskutieren. Ihr erklärtes Ziel ist es, die Zahl der Verkehrstoten auf null zu reduzieren. 

Mit Blick darauf sind viele der Experten und Techniker für Bremsen, Airbags und Seitenaufprallkräfte in den vergangenen Jahren zu IT-Spezialisten geschult worden. Jetzt steht ihnen eine große Auswahl von digitalen Werkzeugen rund um künstliche Intelligenz, Internet-of-Things-Technologien und Automatisierung zur Verfügung, mit der sie die Digitalisierung weiter vorantreiben.

Doch ihre Kollegen aus den Cybersecurityabteilungen schlagen Alarm. In den Datenströmen eines einzelnen Fahrzeuges würden mehrere Gigabyte Daten übertragen – pro Minute. Schadcode lasse sich bequem getarnt transportieren; Sicherheitssysteme und künstliche Intelligenz austricksen. 

Und plötzlich sitzen kriminelle Hacker auf dem virtuellen Beifahrersitz, an der Steuerung oder bemächtigen sich der Motoren oder der Lenkungen. Die Befürchtung: Durch Angriffe auf einzelne Fahrzeuge oder die gesamte Verkehrsinfrastruktur könnte die Zahl der getöteten Menschen steil nach oben gehen – anstatt wie vorgesehen auf null zu sinken. Kein Wunder also, dass inzwischen eine ganze Branche mit der Frage beschäftigt ist, wie künstliche Intelligenz die Cybersicherheit ihrer Kunden garantieren wird.

Und hier auf der Konferenz prognostizieren die Experten, dass ab diesem Jahr immer mehr IT-Werkzeuge zum Einsatz kommen. Die Informationssicherheitssysteme, welche im vergangenen Jahr installiert wurden, würden durch fortgeschrittene Methoden des Deep Learnings auf Basis neuronaler Netze ergänzt. 

In anderen kritischen Infrastrukturen seien diese Methoden aus der Industrie-4.0-Welt bereits implementiert und sicherten beispielsweise Energienetze und Banken. Allerdings fehlten in allen Unternehmen und Organisationen die Sicherheitsexperten, die mit diesen Systemen umgehen können. Hier bestehe dringender Bedarf an Schulungen und Weiterbildungen.

Das Schließen einer Lücke öffnet eine andere

Außerdem ist es den Sicherheitsexperten durchaus bewusst, dass sie neue Schwachstellen in die Systeme einbauen, wenn sie eine Lücke schließen. Etwa weil sie die neuen KI-Security-Lösungen häufig in die Cloud verlegen und sich damit wiederum auf einer neuen Ebene angreifbar machen. Deshalb diskutieren die IoT-Experten bereits darüber, spezielle geschützte Chips oder Prozessoren direkt in die Fahrzeuge, Maschinen, Roboter oder Smartphones zu integrieren. Dort sollen die Künstliche-Intelligenz-Anwendungen „vor Ort“ für Datensicherheit sorgen.

Doch das Paradoxon der Digitalisierung, das schon aus vielen anderen Bereichen und Infrastrukturen bekannt ist, können sie nicht lösen. Parallel zu den Bemühungen mit künstlicher Intelligenz Fahrzeuge sicherer zu machen, steigt eben auch die Gefahr, die von diesen Technologien ausgeht.

Automatisierte, intelligente und autonome Systeme und Maschinen eröffnen Kriminellen völlig neue Möglichkeiten für Cyberangriffe. Besonders Infrastrukturen wie Verkehrssysteme, Netzwerke, Rechenzentren werden zu Zielen möglicher Angriffe. Hierfür rüsten kriminelle Hacker mit Werkzeugen auf, die ihrerseits neuronale Netze und selbstlernende KI-Algorithmen nutzen. Cyberangriffe auf dieser Basis können bestehende Sicherheitsvorkehrungen unterlaufen, indem sie menschliches Verhalten nachahmen. 

Am Ende könnten KI-Algorithmen Produktionsmaschinen, Fahrzeuge oder ganze Rechenzentren übernehmen. Sie spielen den Sicherheitssystemen vor, deren Besitzer oder Administratoren zu sein.

Quelle: VDE, 2019

„Secure by Design“ wird verbindlich 

In Berlin vergeht kaum ein Monat, ohne eine größere Konferenz zu den Themen IT-Sicherheit und künstliche Intelligenz. Im Juni trafen sich IT-Sicherheitsverantwortliche aus internationalen Konzernen und diskutierten über „Secure by Design“. Das Konzept ist in der Politik angekommen und wird im Moment in Großbritannien in ein Gesetz gegossen – das absehbar und in kurzer Zeit über den Kanal in die Europäische Union gelangen wird.

Ein Softwarehersteller lädt mich am Rande der Veranstaltung zu einem Hintergrundgespräch ein. Schon jetzt gelte „Secure by Design“ als der nächste große Aufreger nach der Datenschutzgrundverordnung „DSGVO“, erfahre ich. Während die DSGVO von der Industrie den sicheren und ordentlichen Umgang mit Daten fordere, gehe „Secure by Design“ weiter. Die Hersteller würden verpflichtet, ihre Anwendungen erst dann an die Kunden zu liefern oder online zu stellen, wenn sie sicher seien.

Damit seien alle Anbieter, die für den IoT-Markt produzieren oder Dinge verkaufen, die mit dem Web verbunden sind, gezwungen, aus ihrer Business-Perspektive heraus über Sicherheit nachzudenken. Jetzt komme IT-Security endgültig in den Chefetagen an – denn unsichere Produkte dürften nicht mehr verkauft werden. Und schon jetzt sei es für viele Anbieter ein Geschäftsmodell sich an den Vorgaben aus Großbritannien zu orientieren und auf diese Weise die Risiken in den IoT-Produkten zu minimieren.

Ähnlich wie bei der DSGVO müssten Unternehmen in Audits die Sicherheitsbemühungen für ihre Anwendungen nachweisen – und seien beispielsweise dazu verpflichtet, Prozesse zu installieren, mit denen sie die ständige Prüfung ermöglichen. Zusätzlich müssten sie einen Feedback-Kanal für erkannte Fehler und Bugs im System einrichten.

Branchenspezialisten erläutern mir, dass mit „Secure by Design“ die IT-Sicherheit tatsächlich einen sehr großen Schritt nach vorne machen könne. Denn „Secure by Design“ könnte bei der richtigen Umsetzung bedeuten, dass tatsächlich nur sichere und geprüfte Produkte in Läden, Flugzeugen, Netzwerken und Rechenzentren verbaut werden. 

Verteidigung der Infrastrukturen

Dies würde vor allem beim Kampf um den Schutz der kritischen Infrastrukturen unterstützen – denn hier ist der Cyberkonflikt um die Kontrolle über die Netzwerke besonders hart. Die Angreifer haben die Sicherheit, dass die Fehler der Angegriffenen unmittelbar – und häufig mit Schäden und Kosten in Millionenhöhe – bestraft werden. Ich bin wieder in der Berliner Cybersicherheitsszene unterwegs und treffe die Experten einer Forschungseinrichtung, die mir ihre Beobachtungen beschreiben. 

Ich erfahre wie sich aus Sicht der Forscher die Strukturen wandeln: Inzwischen haben viele Angegriffene schlagkräftige Einheiten gebildet, mit denen sie ihrerseits die Angreifer attackieren. Insbesondere Cyberspezialisten bei Polizei, Geheimdiensten oder auch Sicherheitsfirmen stehen bereit, um Angriffe rund um den Globus zu verfolgen und – auch mit der rechtlichen Sicherheit aus neuen gesetzlichen Bestimmungen – Server zu attackieren, Netzwerke stillzulegen, Onlineshops für Drogen oder Waffen zu zerstören.

Doch mit der Entscheidung, die Systeme nicht nur zu schützen, sondern die Angreifer zu attackieren, haben sich viele Verantwortliche in eine schwierige Situation manövriert, aus der es scheinbar keinen Ausweg gibt. Etwa dann, wenn Sicherheitsbehörden Zugriff auf Cloudanwendungen und Chatprogramme fordern: Kurzfristig können die Sicherheitsbehörden einen Erfolg erzielen, langfristig werden Kriminelle und Sicherheitsdienste diese staatlich verordneten Lücken in den Programmen finden und selbst nutzen.

Ein weiteres Beispiel ist der Schutz von Daten und Dokumenten, die Unternehmensniederlassungen über mehrere Grenzen hinweg an die Zentralen in Deutschland schicken: Bestimmte Programme und Verschlüsselungen sind in vielen Ländern verboten. Das Verschlüsseln des Datenverkehrs und das Nutzen verbotener Anwendungen wird damit zu einer kriminellen Handlung.

Besondere Sorgen bereitet den Verteidigern, dass es in der Natur einer Cyberattacke liegt, dass sich der Angreifer nicht zu erkennen gibt. In der Vergangenheit haben die Cybersicherheitsexperten gelernt, dass befreundete und verbündete Nationen genauso in Daten und auf Smartphones schnüffeln und virtuelle Barrieren knacken, wie die eher als Gegner zu bezeichnenden Länder. Bei einem Gegenangriff könnten sie also auch Verbündete empfindlich treffen. Die Suche nach der besten Verteidigungsstrategie geht weiter.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)