„IT braucht Sicherheitsgurte“

In den 1970er Jahren waren Sicherheitsgurte im Auto heiß umstritten, heute sind sie selbstverständlich. Ähnlich steht es heute um IT-Sicherheit, meint der deutsche Experte Michael Waidner. Er plädiert für neue Regeln, die ein Mindestmaß an Schutz bieten.

Erst Ende Juni wurde öffentlich, dass Hacker in 30 Ländern in die Systeme von Telekommunikationsfirmen eingedrungen sind und Kennwörter, Rechnungs-, Verbindungs- und Geo-Daten gestohlen haben. Auf Nebenschauplätzen machten Angriffe auf Daten der US-Raumfahrtbehörde NASA, den Messengerdienst Telegram bis hin zur Bücherei Wien Schlagzeilen.

Der jährliche Schaden durch Cyberangriffe aller Art ist mittlerweile so hoch wie durch Unfälle im Straßenverkehr, erklärt der Informatiker Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. „Die genaue Zahl kennt vermutlich niemand. In Deutschland schätzt Bitkom den Schaden aber auf über 20 Milliarden Euro jährlich.“

Menschen arbeiten an Laptops

APA/AFP/Philippe Huguen

Technologiegespräche Alpbach

Von 22. bis 24. August finden im Rahmen des Europäischen Forums Alpbach die Technologiegespräche statt, organisiert vom Austrian Institute of Technology (AIT) und der Ö1-Wissenschaftsredaktion. Das Thema heuer lautet „Freiheit und Sicherheit“. Davor erscheinen in science.ORF.at Interviews mit Wissenschaftlerinnen und Wissenschaftlern, die bei den Technologiegesprächen vortragen oder moderieren.

Zur Person

Michael Waidner ist Institutsleiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt sowie Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit CRISP. Er wird am 23. August im Arbeitskreis „Wie sicher ist sicher? Leben und Wirtschaften im Spannungsfeld zwischen Komfort – Geschwindigkeit – Sicherheit“ in Alpbach sprechen.

Cyberwelt alles andere als sicher

Die Cyberwelt ist offenbar alles andere als sicher. Betriebssysteme enthalten Waidners Schätzungen zufolge zwischen 100 und 1.000 kritische Schwachstellen. Angreifer müssen diese nur finden. Bei 80 Prozent der beliebtesten mobilen IOS- und Android-Anwendungen fanden die Fraunhofer-Forscher Sicherheitsprobleme, ebenso bei mehr als drei Viertel aller Firmennetze. „Würde man solche Zahlen vom Brücken- oder Flugzeugbau hören, man würde in kein Flugzeug mehr einsteigen und über keine Brücke mehr gehen. Dabei ist die Informationstechnologie genauso eine Ingenieursdisziplin wie Flugzeug- und Brückenbau.“ Fairerweise beschäftigen sich Menschen aber erst vergleichsweise kurz mit Computern und Algorithmen.

Dass es hier so viele Sicherheitsprobleme gibt, hat auch etwas mit dem Selbstverständnis der ersten Entwickler zu tun. „Anfangs lautete die Devise: Wir machen einfach mal; wir entwickeln schnell einen Prototyp, der eine tolle Funktionalität hat und den wir dem Kunden in die Hand geben können. Je schneller man das schafft, desto mehr Geld kann man verdienen!“

Diese Logik dominierte die Computerindustrie bis zur Jahrtausendwende. Auch heute noch gilt Sicherheit oft als lästiger, zusätzlicher Kostenfaktor, den viele Firmen vermeiden wollen. Beispielsweise indem sie zuerst ihre Entwicklungen und Innovationen auf den Markt bringen und nachträglich mit Sicherheitsmaßnahmen aufzurüsten versuchen. „Tatsächlich ist der Ansatz, Sicherheit von Anfang an mitzudenken, nicht so verbreitet, wie man denken würde. Er etabliert sich zwar zunehmend in der Software- und Hardwareindustrie, aber leider nur sehr langsam.“

Sicherheit nachträglich angeheftet

Das macht die Cyberwelt zu einem quasi hochkomplexen Patchwork-Konstrukt, das im Laufe der Zeit mit vielen unterschiedlichen Stoffen und Fäden repariert und miteinander verbunden wurde. „Das Problem ist, dass wir mit dem Erbe der alten, schnell gebauten, unsicheren Systeme arbeiten müssen. Wir die heutige IT immer nur in kleinen Teilen neu machen. Um den Rest muss man nun Sicherheitsmaßnahmen herum bauen.“ Einfache Lösungen gibt es dabei nicht. Diesen Punkt hat man bereits am Anfang übersehen. „Dürfte ich heute das Internet neu erfinden, wäre es nicht sehr schwierig, ein sehr viel sicheres Internet zu machen.“

Ö1-Sendungshinweis

Dem Thema widmet sich auch ein Beitrag in Wissen aktuell: 15.7, 13:55 Uhr.

Nichtdestotrotz: Es ginge mehr als derzeit getan wird, kritisiert Waidner, auch Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit, CRISP. Vor allem die Politik müsse klare Regeln schaffen, welche Sicherheitskriterien Computer, Roboter und Programme erfüllen müssen. Rechtliche Anreize gibt es aktuell nur wenige. Wer ein unsicheres Programm auf den Markt bringt, haftet im Falle einer Cyberattacke nicht wirklich für entstandene Schäden. „Wir brauchen ein Umdenken wie damals beim Sicherheitsgurt im Auto. Seit den 1970er Jahren muss jedes Auto einen haben. Heute denkt keiner mehr darüber nach, dass ein Auto viel billiger wäre, wenn man es ohne Sicherheitsgurt ausliefern könnte. Es wird einfach gemacht.“ Ein möglicher positiver Anreiz wäre wiederum, wenn jene einen finanziellen Vorteil haben, die als erste eine Sicherheitstechnologie in ihren Angeboten einsetzen. „Aktuell hat man oft kurzfristig betrachtet eher einen finanziellen Nachteil, wenn man in Sicherheit investiert. Vor allem, wenn andere Hersteller nicht mitziehen.“

Eine Frau legt einen Sicherheitsgurt im Auto an

APA - Hans Klaus Techt

Zertifikate und das richtige Passwort

Zertifikate wiederum könnten Kunden helfen, sofort zu erkennen, wie sicher ein Gerät oder ein Programm ist. „Es gibt europaweit Bestrebungen, solche Labels für Mindestanforderungen einzuführen. Wir sind aber noch nicht so weit.“ Noch muss man selbst das Kleingedruckte durchlesen. Dabei sollte man beispielsweise darauf achten, ob Sicherheitsupdates für die nächsten Jahre garantiert werden. „Ich kann nur dringend davon abraten, ein Gerät z.B. für das Smart Home zu kaufen, bei dem der Hersteller nicht zusichert, mindestens die nächsten zehn Jahre regelmäßig Sicherheitsupdates zu liefern. Bei einem Telefon wären es etwa fünf Jahre. Ohne solche Updates wird das Gerät nach einem halben Jahr nicht mehr wirklich sicher nützbar sein.“

Sich selbst schützt man wiederum durch gute Passwörter - also nicht 1,2,3,4,5 oder ‚Hallo‘ - sowie beispielsweise einer gewissen Vorsicht bei fragwürdigen E-Mail-Anhängen. „Allgemein ist es einfach sinnvoll zu wissen, wie man mit der IT, Internet und Medien umgeht und wie man sich richtig verhält.“ Im Falle eines Angriffs empfiehlt es sich beispielsweise ruhig zu bleiben, so Waidner. Wenn man via E-Mail oder Telefon plötzlich zu Zahlungen aufgefordert wird bzw. Informationen abgefragt werden, sollte man also nicht gleich sein Geld überweisen und seine Daten bekannt geben. „Es ist sinnvoll, sich immer kurz zu fragen, ist das halbwegs vernünftig, was da gerade passiert? Ansonsten lasse ich es. Das hilft in 80, 90 Prozent der Angriffe, die es heute gibt.“ Generell liege aber die Hauptverantwortung nicht beim Nutzer selbst, seine persönlichen Daten und Geräte zu sichern. Vielmehr müssen Hersteller, Anbieter von IT-Diensten und Gesetzgeber dafür sorgen, dass sich die Nutzer schützen können.

Ruth Hutsteiner, Ö1-Wissenschaft

Mehr zu diesem Thema: