"Eine komplette Entnetzung geht zu weit"

23. April 2010, 07:30
  • security
  • symantec
  • ibm
image

Müssen Regierungen und andere empfindlichen Organisationen ihre Rechner ganz vom Netz nehmen, wie Sandro Gaycken postuliert? Virenforscher Candid Wüest von Symantec und IBM-Security-Spezialist Andreas Wespi beziehen im Gespräch mit inside-it.ch Stellung zu den Thesen von Sandro Gaycken.

Müssen Regierungen und andere empfindlichen Organisationen ihre Rechner ganz vom Netz nehmen, wie Sandro Gaycken postuliert? Virenforscher Candid Wüest von Symantec (Foto links) und IBM-Security-Spezialist Andreas Wespi (Foto rechts) beziehen im Gespräch mit inside-it.ch Stellung zu den Thesen von Sandro Gaycken.
Sandro Gaycken, Technikphilosoph und Sicherheitsforscher an der Universität Stuttgart, fordert in der neusten Ausgabe der Zeitschrift 'Computerworld' Regierungen, Organisationen und Unternehmen sollten aus Sicherheitsgründen alle wichtigen Rechner vom Netz zu nehmen. Angesichts der geforderten radikalen Massnahmen, nehmen der Virejäger Candid Wüest von Symantec und Andreas Wespi, Leiter der Abteilung IT Security im IBM Forschungslabor in Rüschlikon, zu Gayckens Aussagen Stellung.
Wie sicher sind die Internet-basierte Infrastrukturen, die heute in den meisten Unternehmen weltweit im Einsatz stehen?
Candid Wüest: Leider sind Netzwerkinfrastrukturen oft unzureichend geschützt. Dies kann viele Ursachen haben, etwa nicht aktualisierte Software, konzeptionelle Fehler oder Konfigurationsfehler durch den Benutzer. Nach unseren Beobachtungen hätten 90 Prozent der Vorfälle durch optimales Patchen verhindert werden können. Sehr exponiert sind Webapplikationen, weshalb sie ein häufiges Angriffsziel sind. Oft wird die Inputvalidierung nur ansatzweise vollzogen und ermöglicht so einen Angriffsvektor.
Andreas Wespi: Wir sollten Netzwerkinfrastrukturen nicht isoliert betrachten, sondern über IT-Infrastrukturen als Ganzes sprechen. Unternehmen und Organisationen sind sich bewusst, dass es IT Security-Probleme gibt. Diese treten im Internet aber auch innerhalb eines Unternehmens auf. Was es braucht, ist eine Risiko-Abschätzung: Was sind meine sensitiven Daten, was meine kritischen Prozesse? Wie gut sind sie geschützt und wie gross ist der Schaden bei einem Datenverlust? Daraus lässt sich ableiten, welche Schutzmechanismen es braucht, und wo zum Beispiel Cloud Computing verwendet werden kann.
Sandro Gaycken behauptet, "wer Daten auf vernetzten Rechnern speichert, wer einen Zugang über das Internet einrichtet, ist jederzeit offen für Observation und Sabotage." Deshalb fordert er, "wichtige Rechner müssen vom Netz!" Was sagen Sie dazu?
Candid Wüest: Das ist eine alte, gängige Praxis. Sie wird seit den Anfängen des Internets empfohlen. Die Frage ist nur: Welche Systeme müssen als wichtig eingestuft werden? Gerade im Finanzsektor werden seit Jahren für kritische Systeme getrennte Netzwerke eingerichtet. Ein wichtiger Webserver eines Online-Shops wird aber nie auf diese Weise geschützt werden können.
Das Beispiel zeigt: Ein getrenntes Netzwerk ist nicht in allen Bereichen praktikabel, da der Informationsfluss in gewissen Prozessen genau die Kernaktivität ist. Es gibt zwar technische Lösungen, die physisch garantieren, dass Information beispielsweise nur in eine Richtung fliessen kann. Doch selbst dabei besteht meist immer noch ein Informationsfluss durch Personen, Papier und Telefon. Telefone können abgehört, Personen bewusst Informationen weitergeben oder dazu verleitet werden. Kurz: Eine komplette Trennung wird es nie geben.
Eine komplette Entnetzung geht mir zu weit. Das wäre, wie wenn man fordern würde alle Autos abzuschaffen, da keines der installierten Sicherheitssysteme zu hundert Prozent Leben rettet. Das wäre sicher machbar und es gäbe wohl auch weniger Verkehrstote, trotzdem möchten wir die Autos wohl nicht missen.
Andreas Wespi: Grundsätzlich besteht bei allen Systemen, die an einem Netzwerk angeschlossen sind, ein Sicherheitsrisiko. Es gibt aber auch Risiken, die bei in sich geschlossenen Systemen auftreten. So kommt es immer wieder zur Verbreitung von Malware via CD’s oder USB-Sticks. Wichtig ist eine sorgfältige Risikoanalyse, um die richtigen Sicherheitsmassnahmen treffen zu können. Diese Sicherheitsmassnahmen beschränken sich nicht nur aufs Netzwerk, sondern sind umfassender und vielfältiger. Weiter möchte ich noch anfügen, dass die Konsequenzen der von Gaycken propagierten Entnetzung für die Wirtschaft natürlich gravierend wären.
Stimmt es, dass keine Security-Lösung lange sicher funktioniert, Cyberkrieger noch professioneller und künftig noch weniger zu entdecken sein werden?
Candid Wüest: Sicherheitslösungen unterstehen dem Wandel der Zeit. Wenn sich die Technologie verändert, muss sich auch die Schutzsoftware anpassen. Eine Lösung, die stehen bleibt, bietet nach fünf Jahren nicht mehr die gleiche Sicherheit wie am Anfang. Das gilt auch für einen Angreifer: Wer keine neuen Tricks lernt, wird nach fünf Jahren auch keinen Erfolg mehr haben. Auch physische Gebäudesicherungen altern. Eine vor zehn Jahren gut geschützte Militärbasis lässt sich mit heutigen Mitteln einfacher einnehmen.
Dennoch gibt es durchaus sichere Kryptographie, wie beispielsweise OneTimePads. Leider wurden solche Systeme meistens falsch implementiert oder sie benutzen schwache Zufallsgeneratoren. Dank den immer leistungsfähigeren Computern werden Bruteforce-Angriffe, die den ganzen Schlüsselraum durchprobieren, für die Angreifer immer einfacher.
Sie können sich auch immer besser verstecken: Seit langem ist bekannt, wie Cyberkriminelle unter Zuhilfenahme von Proxys und öffentlichen Hotspots anonym im Internet agieren.
Andreas Wespi: Unsere Computing-Umgebung verändert sich ständig. Deswegen werden auch andauernd neue Anforderungen an bestehende Sicherheitslösungen gestellt. Bestehende Lösungen können jeweils nur die Gefahren abwenden, für welche sie entwickelt wurden. Es findet hier ein modernes "Wettrüsten" statt – Cyberkriminelle entdecken eine Lücke, Anbieter schliessen sie mit stärkeren Sicherheitsmassnahmen. Und dann geht es wieder von vorne los.
Wichtig ist deswegen, schon bei der Implementierung und Entwicklung vorausschauend zu fragen: Wo könnten Sicherheitslücken entstehen und wie kann ich damit umgehen? IBM hat zum Beispiel mit der Virtual Patch Technologie ein Tool für dieses vorausschauende Handeln. Es gilt, Sicherheitsprobleme gar nicht erst entstehen zu lassen.
Aktuelle Entwicklungen wie die kürzlich bekannt gewordenen Cyber-Angriffe aus China scheinen Gaycken Recht zu geben.
Candid Wüest: Ja. Seit einigen Jahren registrieren wir vermehrt professionelle Cyber-Angriffe. Dies ist allerdings auch keine neue Entwicklung. Traditionelle Spionageabhörangriffe gab es schon seit Dekaden, es werden nun einfach andere, angepasste Methoden angewendet. Es ist einfacher, durch physische Sabotage komplette Regionen vom Internet zu trennen. Aber klar: Ein anonymer Angriff aus der Ferne bietet gewisse Vorteile, etwa das geringere Risiko, dingfest gemacht zu werden.
Andreas Wespi: Die aktuellen Entwicklungen zeigen vor allem, dass sich das Hacker-Profil geändert hat. Früher ging es Hackern vor allem um den sportlichen Ehrgeiz – sie wollten zeigen, was sie drauf haben, und dass sie in abgesicherte Netze eindringen können. Heute haben wir es vermehrt mit Angriffen zu tun, die ideologisch, wirtschaftlich oder politisch motiviert sind. Aus Verteidiger-Sicht heisst das, dass man es vermehrt mit Profis zu tun hat, die schnell, zielgerichtet und effizient arbeiten. Es geht darum, auf alle möglichen Szenarien von Attacken eine Antwort zu finden.
Wie können sich Unternehmen, Organisationen und Regierungen sinnvoller Weise gegen Cyberkriminelle schützen?
Candid Wüest: Wie gesagt, eine gewisse Trennung ergibt durchaus Sinn. Steuerungscomputer für den Abschuss von Nuklearraketen gehören definitiv nicht ans Internet. Hingegen muss ein E-Mail-Server logischerweise einen Netzwerkanschluss besitzen. Die Unternehmen müssen sich also ihrer kritischen Informationen und Infrastrukturen bewusst werden. Und sich überlegen, wer auf diese Daten zugreifen kann und was mit diesen Daten passiert. Danach können verschiedene Technologien eingesetzt werden, um die jeweiligen Abschnitte abzusichern. Etwa mit Software wie Firewalls oder Access Control Mechanismen – oder eben auch durch physikalische Einwegkommunikation.
Andreas Wespi: Sich der Gefahren bewusst zu sein und mögliche Lösungsansätze zu kennen, ist die Grundvoraussetzung. Die Sensibilisierung der Akteure für dieses Thema ist sehr wichtig. Zu diesem Zweck hat IBM in den USA das Institut für Advanced Security gegründet, wo man vor allem Regierungsorganisationen im Bereich Cybersecurtiy berät und unterstützt.
Können derzeit noch fehlende technische Alternativen aufgrund der rasant fortschreitende Entwicklung Abhilfe schaffen und sicher Netze garantieren?
Candid Wüest: Ja, dieser Ansicht bin ich. Die bestehenden Verbindungen und Anforderungen sollten genau analysiert werden und notwendige Informationsflusspfade sollten nicht durch Personen ersetzt werden, die die Daten ausdrucken und dann wieder abtippen. Sondern eben beispielsweise durch unidirektionale Verbindungen, die mit Software mehrfach abgesichert werden.
Welcher Sicherheitslevel ist künftig realistisch?
Candid Wüest: 100 Prozent Sicherheit wird es nie geben, weder im digitalen noch im realen Leben. Dies gilt auch für getrennte Netze. Es geht also darum zu analysieren, welche Risiken wir für welche Infrastruktur zu akzeptieren bereit sind und wo wir durch neue Technologien die Sicherheit erhöhen können. Eine öffentliche Webseite braucht daher nicht unbedingt die gleich hohe Sicherheitsleistung wie der Schaltkreis eines Atomkraftwerkes. Je nach Definition eines Sicherheitslevels ist eine 99-prozentige Sicherheit denkbar.
Andreas Wespi: In Teilbereichen hat die Forschung bereits grosse Fortschritte erzielt. Es ist zum Beispiel möglich, Transaktionen über das Internet mit einem hohen Sicherheitslevel abzuwickeln. Dies zeigt das Beispiel des Zone Trusted Information Channels (ZTIC), der von IBM für sicheres Home Banking entwickelt wurde und von der UBS eingesetzt wird. Das Ziel ist es, auch in anderen Bereichen Security-Lösungen mit ähnlich guten Eigenschaften zu entwickeln. Sicherheit quantitativ zu beschreiben ist schwierig. Deshalb ist es auch Gegenstand aktueller Forschung, Sicherheit messbar zu machen. Wir müssen uns aber im Klaren sein, dass es wie im täglichen Leben auch im IT-Bereich keine hundertprozentige Sicherheit gibt.
Wie unternehmen Sie als Sicherheitsanbieter, um die drohenden „Cyber-Armeen“ aufzuhalten?
Candid Wüest: Wir entwickeln unsere Sicherheitslösungen stetig weiter und passen sie den neuesten Gegebenheiten an. Oberste Priorität ist der Schutz des Kunden. Zusätzlich müssen Unternehmen aufgeklärt und ihre Prozesse hinsichtlich ihrer Sicherheit überprüft werden. Ihnen muss bewusst werden, welche Informationen geschützt werden müssen und wie die Angreifer vorgehen.
Andreas Wespi: IBM ist auf verschiedenen Ebenen aktiv. Unsere X-Force Organisation publiziert vierteljährlich Trend & Risk Reports, welche basierend auf den von IBM gesammelten Daten aktuelle Security-Trends aufzeigen. IBM bietet auch Managed Security Services an. Mit diesem Angebot hilft IBM Kunden, ihre IT-Infrastruktur und ihre Applikationen zu schützen. Die Erfahrungen aus diesem Kundenservice ermöglicht es IBM zudem, Sicherheitsrisiken frühzeitig zu erkennen und das Wissen auf breiter Ebene zur Verfügung zu stellen.
IT-Security unserer Kunden ist für IBM ein sehr wichtiges Thema, was folgende Zahlen belegen: IBM Systeme wehren geschätzte 7 Milliarden Security-Issues ab – täglich! 15'000 Forscher und Entwickler arbeiten für IBM an Sicherheitslösungen; IBM betreut weltweit mehr als 4000 Unternehmen in Sicherheitsfragen; IBM hält über 3000 Patente im Bereich Sicherheit & Risk Management; IBM forscht seit über 40 Jahren an Sicherheitslösungen im IT Bereich und wurde dafür schon mehrfach ausgezeichnet. (Das Gespräch führte Volker Richert)

Loading

Mehr zum Thema

image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023