Sicherheit

Früher habe ich ohne Bedenken im Internet gesurft oder E-Mails von unbekannten Absendern geöffnet – hätte ja etwas Interessantes sein können. Falls es Malware gewesen wäre, hatte man ja das Antivirus-Programm, das einen schützt. Heute kommt mir schon das Zittern, wenn der Computer etwas macht, was er sonst nicht macht. Virus? Ransomware? Trojaner?

Der erste große Cyberangriff, an den ich mich noch gut erinnern kann, war als Liebesgrüße per E-Mail verschickt wurden. Heute weiß man, dass der I-Love-You-Virus weltweit 50 Millionen Computer befallen und der Schaden 5,5 Milliarden US-Dollar betragen hat.

Mittlerweile hören wir fast täglich von Cyberangriffen auf Unternehmen oder Organisationen. Besonders stark vertreten sind momentan Ransomware-Attacken, die Daten von den befallenen Computern verschlüsseln und Lösegeld für die Entschlüsselung erpressen. Die letzten großen Angriffe wie „WannaCry“ und „NotPetya“ trafen große Unternehmen wie Beiersdorf, Fedex und Milka direkt ins Herz. Das Jahr 2017 gilt nach einem Bericht von Trend Micro „2017 Midyear Security Roundup: The Cost of Compromise“ übrigens als das Jahr der Ransomware. Allein in den ersten sechs Monaten gab es 82 Millionen Bedrohungen durch Ransomware, der Schaden beträgt etwa vier Milliarden US-Dollar. Auch wenn nicht jeder Angriff so weite Kreise wie „WannaCry“ und „NotPetya“ zieht, gefährlich sind sie allemal, besonders wenn Unternehmen nicht richtig geschützt sind. Ich frage mich oft, ob Unternehmen aus den vorhergegangenen Attacken nichts lernen? Immer wieder sind große namhafte Unternehmen dabei, von denen man doch eigentlich denkt, dass sie gut geschützt vor solchen Attacken und ihre Systeme auf dem neuesten Stand sind.

Ganz hoch im Kurs stehen übrigens auch Cyberversicherungen. Die können zwar keine verlorenen oder verschlüsselten Daten zurückbringen, den finanziellen Schaden können sie aber verringern. Doch wie auch immer Unternehmen sich bei dem Thema IT-Sicherheit aufstellen, wie sie ihre Mitarbeiter sensibilisieren oder welche Lösungen sie einsetzen – eines ist auf jeden Fall so sicher wie das Amen in der Kirche: Der nächste Cyberangriff kommt auf jeden Fall.

menuseperator

Da sag noch einmal einer, dass durch den zunehmenden IT-Einsatz in allen Bereichen nur Arbeitsplätze wegrationalisiert werden – dass IT auch aktiv Arbeitsplätze – was sag ich, ganz neue Arbeitsfelder – schaffen kann, zeigt sich gerade mal wieder:

Kaum hat sich das Grundverständnis darüber, was die Aufgaben eines CISO (also eines Chief Information Security Officers) im Unternehmen alles umfasst einem ziemlich allgemeinen Konsens genähert, zeichnet sich ein neues Berufsfeld ab: der ISO hat nun Saison, wie eben auf dem IT-Gipfel der Bundesregierung ausgerufen. Was das ist, fragen Sie sich? Klingt nach dem allseits bekannten Industrie-Standard der Internationalen Organisation für Normung, was wohl nicht so ganz zufällig ist. Doch in diesem Fall geht es um den Industrial Security Officer, ein neuer Aufgabebereich im Unternehmen, der angesichts der wachsenden Bedeutung von IoT und Industrie 4.0 quasi unumgänglich ist. Neue Technologien erfordern nun mal mehr als die rein technische Umsetzung, dazu gehört ebenso eine angepasste Gesetzgebung und umfangreiche Sicherheitsmaßnahmen innerhalb einer Organisation. Durch den ISO – also jetzt nicht den Industrie-Standard, sondern den „Sicherheitsbeauftragten“, was aber längst nicht so dynamisch und IT-affin klingt – soll schlicht vermieden werden, dass diese Position mit zentraler Bedeutung von mehreren Mitarbeitern mal eben so nebenbei mit erledigt wird – viele Köche verderben ja bekanntlich den Brei. Angesichts breiter Gesetzeslücken und zahlreicher Sicherheitsmängel bei IoT-Anwendungen ist schließlich noch viel zu tun. Ob mit dem neuen Namen dann auch gleich deren Lösung in Aussicht steht, bleibt abzuwarten. Für Gesprächsstoff sorgt das neue Berufsfeld allemal, und das sicher nicht nur bei der Begriffsklärung.

Dass Industrie 4.0 kein Gedankenspiel mehr ist, zeigt übrigens ganz eindrucksvoll eine Landkarte mit Praxisbeispielen, die Smart-Factory-Anwendungen ebenso umfasst wie Service- und Logistik-Lösungen, Predictive Maintenance bei Industrie-Anlagen oder den Einsatz bei der Vernetzung von Maschinen, Feldern und Fahrern in der Landwirtschaft.

menuseperator

Es bleibt dabei. Die alte Redaktions-Weisheit, dass die Wirklichkeit die besten Geschichten schreibt, gilt auch im digitalen Zeitalter.

Was ist passiert? Neulich haben wir für einen Artikel zum Thema "Internet der Dinge" (also IoT) ein paar "Gefahren" gebraucht: Was kann alles passieren im IoT, wenn man die Sicherheit nicht gebührend berücksichtigt. Allerlei: Maschinen können ausfallen, Aufzüge steckenbleiben, Autos verunfallen, Turbinen falsche Leistungsdaten übermitteln. Klar, überall wo Sensoren und Aktoren drin stecken, stecken auch Risiken drin. Aber ganz ehrlich, so richtig abgefahren waren diese Szenarien alle nicht. Kein Wow-Effekt. Und der IoT-Kühlschrank, der statt Bier Milch nachbestellt … nein, so richtig abgefahren ist anders. Wie so oft kam die eingangs angesprochene Wirklichkeit zu Hilfe, diesmal in Gestalt einer interkontinentalen Forschergruppe, über die auf heise.de berichtet wurde:

Das Internet der Dinge (IoT) sorgt mal wieder für eine skurrile Sicherheitslücke: Diesmal haben Forscher einen Wurm programmiert, der von einer Philips-Hue-Birne zur anderen springt und diese mit bösartiger Firmware bespielt.

Eine Forschergruppe aus Israel und Kanada hat einen Angriff auf smarte Philips-Glühbirnen vorgestellt […] Eine infizierte Glühlampe hackt drahtlos benachbarte Birnen und verbreitet auf diesem Weg einen Firmware-Wurm der die Lampen wild flackern lässt oder sie zerstört – potenziell könnte sich der Schadcode so über eine ganze Stadt ausbreiten und alle smarten Glühbirnen übernehmen. Je mehr Birnen sich dicht beieinander befinden, desto schneller verbreitet sich der Wurm. In ihren Versuchen gelang es den Forschern smarte Lampen sowohl im Vorbeifahren mit dem Auto als auch im Vorbeiflug mit einer Drohne zu infizieren.

Eine Drohne, die am Fenster vorbeifliegt und das Licht ausmacht. Wie abgefahren ist das denn? Und was passiert eigentlich, wenn die Drohne vorbeifliegt und man schnell das Licht ausmacht? Das Internet der Dinge hat schon auch einen gewissen Unterhaltungsfaktor.

Also, was heißt da Sicherheitslücke? Das "Starter-Kit Philips Hue" inklusive Bridge im 3-er-Set mit 16 Millionen Farben, App-gesteuert – gibt es diese Woche im Sonderangebot für schlappe 139 Euro, mit anderen Worten: Geschenkt! Gleich bestellen! Sie sparen 56,96 Euro – Kunden, die diesen Artikel gekauft haben, kauften auch den Philips-Hue-Bewegungssensor und außerdem – und nun wird's richtig abgefahren, weil wir nun auch voll in die Lücken von Big Data hineinschliddern: "Pampers Baby Dry Windeln, Monatspackung, Größe 4 (Maxi), 8-16 kg, (1 x 174 Windeln)". Echt, steht da so. Wer denkt sich denn so was aus? Das kann wieder mal nur die Digitalisierung gewesen sein.

Und man mag sich nicht ausdenken, was die Drohnen mit den Windeln machen … wo bleibt die Forschung?

menuseperator

Bemerkenswertes wird aus Südostasien gemeldet:

Aufgrund von zahlreichen Cyberattacken will die singapurische Regierung fast alle Behördenrechner vom Internet trennen – rund 100.000 Computer. […] Laut Premierminister Lee Hsien Loong sei es 'absolut notwendig' die Behördenrechner auf diese Weise zu schützen […]. Dass es durch die Trennung vom Internet zu Verzögerungen in den Behördenabläufen kommen könne, sei der Regierung bewusst. Dies nehme man aber für den Zugewinn an Sicherheit in Kauf. […] Weil Cyberangriffe aber immer ausgeklügelter ausgeführt würden, müsse man reagieren. Heise online vom 14. Juni 2016

Nun kann man davon ausgehen, dass sich die Behörden von Singapur einigermaßen mit IT auskennen, dass sie mit dem Internet nicht erst seit gestern rummachen und dass dort auch diverse Sicherheitsexperten arbeiten. Und dass man sich diesen (möglichen) Schritt, der nicht so recht ins digitale Zeitalter passt, gut überlegt hat, kann man auch annehmen.

Als jemand, der zwar ans Internet angeschlossen ist, aber über deutlich weniger IT- und Security-Ressourcen verfügt als die Behörden von Singapur, kann man da schon nachdenklich werden. Wenn die es nicht mal schaffen, ihre Systeme zu sichern …

Und noch etwas: Vor diesem Hintergrund erscheinen die ständigen Appelle an die Verantwortung der User (Hast du dein Passwort gewechselt? Hast du einen Virenscanner installiert? Hast du auch und tust du auch …? Wenn nicht: SELBER SCHULD!) erst recht … sagen wir mal: sachfremd.

menuseperator

Vor nicht allzu langer Zeit gab es einen Aufschrei in der Bevölkerung – der Überwachungsskandal, den Edward Snowden damals aufdeckte, rief in der Bevölkerung breite Empörung hervor. Die Angst, ein gläserner Mensch zu werden, der auf Schritt und Tritt überwachbar sein soll, lässt regelrecht Gänsehaut entstehen. Der Kampf zum Schutz der persönlichen Daten hatte eingesetzt und in den vergangenen Jahren auch die Politik bestimmt: Das Recht auf mehr Privatsphäre war das Schlagwort für so manche politische Kampagne.

Doch wieder einmal ändert die Politik ihre Kursrichtung. Die letzten Ereignisse in Paris und Brüssel wie auch in Hannover haben die EU-Politik hin zu einer geplanten Totalüberwachung aller Flugreisenden vorangetrieben. Die Daten aller Passagiere sollen minutiös überwacht und registriert werden, so dass alle verdächtigen Reisewege sofort erkannt und potentielle Terroristen unmittelbar aus dem Verkehr gezogen werden können. Natürlich reicht die Überwachung des Flugverkehrs hier noch nicht aus. Das Schengen-Abkommen wird mehr und mehr in Frage gestellt, denn innerhalb der zugehörigen Staaten fanden höchstens stichprobenartige Grenzkontrollen statt, Reisende konnten sich mehr oder weniger unbehelligt über Grenzen hinweg bewegen – zumindest war dies der Status Quo vor der Flüchtlingskrise.

Die aktuelle politische Situation macht vielleicht eine vermehrte Kontrolle notwendig, allein schon aus bürokratischer Sicht, aber es bleibt dennoch fraglich, wie man die Überwachung und anschließende Speicherung dieser ganzen Massen an Daten rechtfertigen will. Es lag nicht an der fehlenden Registrierung von Reisedaten, dass die Anschläge in Paris nicht verhindert werden konnten, den Behörden lagen sämtliche Namen wie Akten der Terroristen vor. Vielleicht sollte man nicht anstreben, noch größere Massen an Daten zu speichern, sondern versuchen, die Informationen, die man besitzt, besser auszuwerten und zu verstehen. Bei dem angestrebten Gesetzesvorschlag zum Austausch der Daten von Fluggästen werden unter anderem Essenswünsche der Passagiere gespeichert.

Inwiefern meine persönlichen Daten über meine Vorliebe für Süßes oder Herzhaftes bei der Terrorbekämpfung helfen sollen, ist mir schleierhaft. Was wohl weniger verdächtig wirkt: Käsebrötchen oder Schokocroissant?

menuseperator
Sicherheit abonnieren