metzler meets fraunhofer Frankfurt am Main, Mai 2015 www.metzler.com Cyberkriminalität und IT-Sicherheit Das Internet hat sich zum Motor des gesellschaftlichen und wirtschaftlichen Fortschritts entwickelt. Die heutige IT ist vernetzt, komplex und inzwischen allgegenwärtig – und mit zunehmender Vernetzung steigt auch die Anfälligkeit für digitale Angriffe. Professor Peter Martini, Leiter des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie, und Dr. Johannes Reich, Mitglied des Partnerkreises B. Metzler seel. Sohn & Co. Holding AG und zuständig für den Bereich Informationstechnologie des Bankhauses Metzler, sprachen anlässlich der gemein samen Veranstaltung „Metzler meets Fraunhofer“ im Mai 2015 über Cyberkriminalität und IT-Sicherheit. Lässt sich Cyberkriminalität in wenigen Sätzen definieren? Martini: Ich würde mich an der Definition des Bundeskriminalamts orientieren. Demnach umfasst Cyberkriminalität alle Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten und die mittels dieser Informationstechnik begangen werden. Insbesondere umfasst dies also auch Straftaten, deren Auswirkung über das Internet bzw. Datennetze hinausgehen. Reich: Für mich ist Cyberkriminalität das Segment der – meist organisierten – Kriminalität in dem sich die schwer auszumachenden Täter primär vernetzter Datensysteme bedienen, um kriminelle – oft schwerstkriminelle – Ziele zu erreichen. Wer sind heute die Täter, wer die Opfer von Cyber kriminalität? Martini: Insgesamt ist das Feld Cyberkriminalität sehr heterogen. Entsprechend unterschiedlich sind auch die Opfer von Cyberkriminalität. Es betrifft sowohl den ein fachen Bürger, der über Massen-Malware infiziert und letztlich um sein Geld betrogen wird, als auch Unternehmen, die gezielt Spionage durch bezahlte Hacker unter liegen. Auch auf der Angreiferseite gibt es eine große Bandbreite. Zum einen in puncto Qualität der Angriffe und zum anderen hinsichtlich der Professionalität der Angreifer. Bei den professionell organisierten Banden weisen beispielsweise derzeit viele Spuren in den ost europäischen Raum. Wie kommt man den Kriminellen auf die Spur? Martini: Zu Ermittlung und Ermittlungsverfahren im Cyberraum möchte ich mich lieber nicht äußern, sonst könnte das Aufspüren der Kriminellen ja noch schwieriger werden. Gibt es Branchen oder Unternehmen, die besonders stark gefährdet sind? Werden die Cyberangriffe im Zuge der steigenden Bedeutung von „Industrie 4.0“ andere Ziele im Visier haben? Reich: Ich kann mir vorstellen – und Statistiken scheinen dies zu belegen –, dass in Deutschland verstärkt Branchen und Unternehmen angegriffen werden, die die kriminellen Angreifer für besonders lohnende Ziele halten, zum Beispiel wegen des besonderen Know-hows, das diese Unternehmen besitzen. Martini: Außerdem ist inzwischen fast unser gesamtes Leben von vernetzer IT durchdrungen, daher ist prinzipiell jeder gefährdet. Die professionellen Angriffe richten sich – wie bei sonstiger Kriminalität auch – auf Ziele mit besonders hohen Werten. Reich: Ich glaube, dass sowohl die Kriminalitätsfrequenz, als auch die Kriminalitätsraten, -arten und -dimensionen in Zukunft im Zuge der weiteren unabwendbaren Vernetzung von Industrien, Wirtschafts- und Lebensbereichen erheblich wachsen werden, möglicherweise sogar 1 metzler meets fraunhofer exponentiell, was zu ganz neuen Bedrohungslagen führen dürfte. Dr. Thomas de Maizière, Bundesminister des Inneren, wies mehrfach darauf hin, wie dringend notwendig Maß nahmen sind, die die IT sicherer machen. Für viele Unter nehmen ist es aber schwer, mit vertretbarem Aufwand einen Cyberangriff zu verhindern. Was muss ein Unter nehmen für IT-Sicherheit aufwenden? Welche Möglich keiten gibt es, wirkungsvolle IT-Sicherheitslösungen bezahlbar zu machen? Martini: Das Bundesamt für Sicherheit in der Informa tionstechnik, kurz BSI, stellt mit den IT-Grundschutz- Katalogen umfassendes Material zur Verfügung, was für IT-Sicherheit getan werden sollte. Dies bringt mich aber direkt zur zweiten Frage. In meinen Augen gibt es vier Richtungen die wir da verfolgen sollten: Als erstes ist da die Sicherheit mit Augenmaß. Nicht alles muss geschützt werden wie Fort Knox; wer den Speiseplan der Kantine, Konstruktionspläne und sensible Kundendaten in gleicher Weise schützt, der hat in Wahrheit keinen wirksamen Schutz. Zweitens müssen Zusammenarbeit und Informationsaustausch intensiviert werden: Hier geht das neue IT-Sicherheitsgesetz mit Meldepflichten für den Bereich der kritischen Infrastrukturen einen wichtigen Schritt in die richtige Richtung. Für die weniger sensiblen Bereiche bleibt zu hoffen, dass sich eine Kultur einwickelt, bei der Betroffene und potenziell Betroffene sich im Sinne von Neighbourhood-Watch-Areas gegenseitig informieren und warnen. Drittens sollten wir noch deutlich stärker die Automatisierung von Standardaufgaben der Gefahrenabwehr erforschen, um immer wiederkehrende Prozesse beschleunigen zu können. Beispiele hierfür wären Logdatenauswertungen, PatchManagement oder Schadsoftware-Analysen. Und zu guter Letzt darf man vor lauter IT den Menschen nicht ver gessen. Aktuelle Sicherheitssysteme sind häufig viel zu kompliziert für die Menschen, die damit umgehen sollen. Reich: Es wird auf jeden Fall in Zukunft teurer werden. Gibt es überhaupt eine absolute Sicherheit vor Cyber kriminalität? Martini: Eine absolute Sicherheit vor Cyberkriminalität wird es nicht geben. Es gibt ja auch keinen absoluten Schutz vor konventionellen Einbrüchen. Von den klassischen Wohnungseinbrüchen ist aber hinlänglich bekannt, dass Prävention zum Beispiel über Zugangssicherungen und Detektion beispielsweise über Alarmanlagen zur Bekämpfung alleine nicht ausreichen. Hier muss die Repression hinzukommen, also die polizeiliche Arbeit. Dies ist bei Cyberkriminalität nicht anders. Frankfurt am Main, 11. Mai 2015 www.metzler.com Ungeachtet der gestiegenen Sensibilisierung für Gefähr dungen im Cyberraum herrscht vielfach digitale Sorg losigkeit – nicht nur bei Privatnutzern, auch bei kleineren und mittleren Unternehmen. Wo liegen Ihres Erachtens die Gründe dafür? Halten Sie es für möglich, dass als Folge strengere staatliche Vorgaben und Auflagen für die IT-Sicherheit insbesondere in Unternehmen gemacht werden könnten? Reich: Sorglosigkeit hat in vielen Fällen mit einem Mangel an Vorstellungsvermögen zu tun oder mit einem Mangel an Schadenserfahrung. Martini: Ich denke, dass nicht immer gleich nach dem Staat gerufen werden muss. Abgesehen vom Bereich der kritischen Infrastrukturen, wo entsprechende Maßnahmen ja bereits ergriffen werden, sehe ich weniger ein Defizit an Gesetzen als ein Umsetzungsdefizit. Reich: Meines Erachtens wird es noch weitere Gesetze geben für die IT-Sicherheit von sensiblen Unternehmensbereichen. Die Bundesregierung bereitet ein IT-Sicherheitsgesetz vor, das ein Mindestniveau an IT-Sicherheit für kritische Infra strukturen gesetzlich verankern soll. Wie wirksam kann ein solches Gesetz sein? 2 metzler meets fraunhofer Martini: Wie ich vorhin schon erwähnte, halte ich das neue IT-Sicherheitsgesetz für einen Schritt in die richtige Richtung. Ein hoher Prozentsatz von aktuell erfolgreichen Standardangriffen ließe sich schon über einfache Sicherheitsmaßnahmen verhindern. Wenn es durch das ITSicherheitsgesetz gelänge, nur gegen diese Angriffe einen wirksamen Schutz zu etablieren, so wäre das Gesetz schon ein großer Erfolg. Reich: Allerdings gilt: Auch ein gut gemachtes Gesetz kann immer nur so wirksam sein wie seine Einhaltung. Nur wenige Unternehmen melden es, wenn sie Ziel einer (erfolgreichen) Cyberattacke geworden sind. Was würden Sie einem Unternehmen raten, das Ziel eines Cyberangriffs geworden ist? Wie bewerten Sie die Idee der Regierung, eine Meldepflicht einzuführen? Martini: Dem betroffenen Unternehmen würde ich dringend empfehlen, den Vorfall zu analysieren und die zuständigen Behörden zu informieren. Im Zweifel kann der Vorfall bzw. die Merkmale des Vorfalls auch anonym gemeldet werden, falls Reputationsverluste vom Unternehmen durch eine Meldung befürchtet werden. Aus strategischer Sicht ist diese Meldung aber von eminenter Wichtigkeit, da es über den Austausch von Infor mationen zu aktuellen Angriffen möglich ist, potenziell künftig Betroffene zu warnen und das Zeitfenster für erfolgreiche Angriffe mit den gleichen Tatwerkzeugen zu minimieren. Reich: Das Wichtigste aus meiner Sicht ist hierbei permanenter Erkenntnisgewinn, dauernder Lernfortschritt – und das geht nur im Austausch mit anderen. Martini: Genau, und für den Austausch können offene Quellen wie RSS-Feeds und Twitter wertvolle Dienste leisten, aber kein Mensch kann das alles lesen. Nachrichten, die sich auf die Sicherheit der eigenen IT-Infrastruktur beziehen, müssen hier automatisch ausgewertet und aufbereitet werden. Mit der Deutschen Telekom arbeiten wir gerade an einem solchen „Cyber Threat Radar“ – die Frankfurt am Main, 11. Mai 2015 www.metzler.com Betatest-Phase läuft bereits. Für den B ereich der kritischen Infrastrukturen halte ich eine Meldepflicht für dringend geboten. Gibt es im Bereich IT-Sicherheit einen Austausch zwi schen Forschung und Praxis – etwa über eine Plattform für den Wissenstransfer? Martini: Die Brücke zwischen Forschung und Praxis herzustellen, ist gerade eines der Hauptziele der FraunhoferGesellschaft. Gerade deshalb widmen wir uns intensiv der angewandten Forschung. Dies kann bilateral mit Industrieunternehmen oder Behörden aber auch in Konsortien oder Verbünden geschehen. Reich: Unser gemeinsames Fraunhofer-Metzler-Forum ist eine Form und ein Angebot für den Austausch zwischen Forschung und Praxis. Es soll Einblicke ermög lichen in gesellschaftlich wie wirtschaftlich bedeutsame und rasantem Wandel unterworfene technologische Prozesse, wozu selbstverständlich auch IT-Sicherheit und Cyberkriminalität zählen. Estland versteht sich als Vorreiter der digitalen Gesell schaft: Inzwischen geben 95 % der Esten ihre Steuer erklärung elektronisch ab, 98 % nutzen die Gesundheits datenbank, und 99 % wickeln ihre Bankgeschäfte online ab (Quelle: F.A.Z. vom 4. Mai 2015). Was halten Sie vom Modell „E-Estland“ vor dem Hintergrund von Cyberkrimi nalität und IT-Sicherheit? Reich: Estland hat in seiner jüngeren Geschichte einen imponierenden und in Teilbereichen vorbildlichen Weg mit viel Mut, Zuversicht und Konsequenz zurückgelegt. Doch Estland war vor einigen Jahren Ziel von Cyber attacken, die diesen Mut strafen wollten. Wir sollten – aus vielen Gründen – verstehen, warum es geboten ist, auch solche Angriffe, die sich durchaus mit einem Cyberwar vergleichen lassen, völkerrechtlich zu betrachten, zu ächten und konsequent zu verfolgen. Martini: Ich finde das Estland-Modell großartig! Und ich rate dringend davon ab, aus Angst den Fortschritt 3 metzler meets fraunhofer zu blockieren: Entnetzung im Sinne eines digitalen Morgenthau-Plans bringt uns nicht weiter! Ziel muss es vielmehr sein, die Risiken beherrschbar zu machen und die Chancen zu nutzen. Da sehe ich mit Blick auf die Cyberkriminalität noch eine Menge Forschungsbedarf, aber auch ein steigendes Bewusstsein aller Beteiligten für die Gefahr, sodass ich hier optimistisch in die Zukunft blicke. Lassen sich die Folgen von Cyberkriminalität auf die betroffenen Unternehmen begrenzen? Wie hoch ist die Gefahr, dass die Auswirkungen auf andere Bereiche der Gesellschaft übergreifen? Martini: Die Folgen lassen sich in der Tat begrenzen. Und zwar dadurch, dass sich Unternehmen frühzeitig nicht nur um die Detektion von Angriffen kümmern, sondern auch festlegen, wie sie die so genannte Incident- Frankfurt am Main, 11. Mai 2015 www.metzler.com Response, also die Reaktion auf einen erfolgreichen Angriff, angehen wollen. Reich: Wenn ein Unternehmen eine funktionierende ITGovernance aufweist mit entsprechender IT-Sicherheitsplanung sowie einem eingespielten Business-ContinuityManagement, dann dürften sich die Folgen von Cyberkriminalität wirksam begrenzen lassen. Martini: Die Gefahr ist längst Realität. Cyberkriminalität ist kein Thema, dass nur Privatpersonen, nur Behörden oder nur Unternehmen angeht. Wir sehen längst Angriffe auf alle Bereiche. Deshalb ist es nicht die Zeit, die Augen zu schließen, sondern die Zeit zu handeln! Reich: Alle Bereiche der Gesellschaft sind bereits mehrfach betroffen. Jeder Bürger, jedes Unternehmen, jede Institution, jede Nation, die Weltgesellschaft als Ganzes. Die gesellschaftlichen Rahmendaten und Parameter werden gerade überschrieben und neu formuliert. Dr. Johannes Reich ist persönlich haftender Gesellschafter des Bankhauses Metzler und Mitglied des Vorstands der Metzler-Holding. Er verantwortet als zustän diger Partner das Geschäftsfeld Corporate Finance sowie die Unternehmenskommunikation, die Rechtsabteilung und den Bereich Informationssysteme. Seine bankberufliche Tätigkeit begann er beim Hamburger Bankhaus M.M. Warburg & Co., danach arbeitete er bei Morgan Stanley in London und Frankfurt am Main. Dr. Reich ist studierter Wirtschaftsingenieur mit einem Diplom der Universität Karlsruhe und war an der Uni versität Bamberg, wo er auch promoviert wurde, sowie an der Rheinisch-Westfälischen Technischen Hochschule Aachen als wissenschaftlicher Assistent tätig. Prof. Peter Martini leitet seit 1996 die Abteilung 4 (Kommunikation und Vernetzte Systeme) des Instituts für Informatik an der Universität Bonn. 2010 übernahm er zusätzlich die Leitung des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), das sich seither als eines der weltweit führenden Institute für Cyber Security und Cyber Defense etabliert hat. Prof. Martini schloss das Informatikstudium 1986 an der Rheinisch-Westfälischen Technischen Hochschule Aachen ab, wo er 1988 promoviert wurde. Von 1990 bis 1996 war er als Professor für Praktische Informatik an der Universität Paderborn tätig. 4
© Copyright 2024 ExpyDoc
