Von Online-Geschäften über E-Health bis zur Verkehrssteuerung – die Informations- und Kommunikationstechnologie (IKT) ist aus unserem Alltag längst nicht mehr wegzudenken. Was passiert aber, wenn Cyberangriffe das fragile System gefährden und welche Auswirkungen hätten sie auf unser Wirtschaftssystem? Der Report sprach mit Helmut Leopold, Leiter der Abteilung für Digitale Sicherheit im Forschungsinstitut AIT, über Gefahren und Lösungen.
Report: Unsere Wirtschaft ist auf unternehmensübergreifender Ebene auf eine reibungslos funktionierende IKT-Struktur angewiesen. Man spricht gar vom Internet als Rückgrat der Gesellschaft. 2012 drohten Aktivisten des Hackernetzwerkes »Anonymous« das gesamte Internet auszuschalten. Was halten Sie von solchen Drohungen? Ist das Panikmache oder sind diese ernst zu nehmen?
Helmut Leopold: Informations- und Kommunikationstechnologien haben sich zur zentralen Lebensader für alle unsere Lebensbereiche entwickelt. Und nachdem Bereiche wie Industrie 4.0 oder M2M-Kommunikation auf der Verfügbarkeit und auf das Funktionieren der IKT-Infrastruktur aufbauen, müssen wir sie als grundlegend kritisch betrachten – gleichbedeutend mit der Verfügbarkeit der Stromversorgung! Damit steigt die Attraktivität, um Cyberattacken auszuführen und die negativen Konsequenzen für einzelne Unternehmen, aber auch ganze Staaten können beträchtliche Dimensionen ausmachen.
Report: Was wären konkrete Cyberbedrohungsbilder beziehungsweise welche Risiken müssen Unternehmer fürchten?
Leopold: Essentielle Bedrohungen sind Betriebsspionage, Betriebssabotage, Erpressung, Kriminalität, aber auch Terrorismus und Cyber-Krieg. Dies führt zu einer grundlegenden Problemstellung in unserer Gesellschaft: Viele Unternehmen beziehungsweise ganze Industriebereiche sind nicht ausreichend auf diese Entwicklung vorbereitet. Mit Wissen und Werkzeugen aus der Vergangenheit können wir Bedrohungen von morgen nicht abwehren!
»Der Trend, IT-Funktionen virtuell aus der Cloud zu beziehen, hat sowohl ökonomische als auch innovationsbedingte Gründe.« |
Report: Inwiefern lassen sich Gefahren kalkulieren, vorhersagen und welche Lösungen hat man bisher gefunden?
Leopold: Eine ganz wesentliche Funktion wird das sogenannte Risikomanagement einnehmen. Unternehmen müssen ihre Systeme und ihr Unternehmen analysieren, um festzustellen, welche Abhängigkeiten für ihr Geschäft und ihren Betrieb bestehen und welches Risiko durch mögliche Attacken entsteht. Dadurch kann man dann notwendige Investitionen und geeignete Gegenmaßnahmen fokussiert und zielgerichtet planen und einsetzen. Das ist auch ein spezieller Forschungsschwerpunkt im AIT.
Report: Die Gefahrenpotenziale verdeutlichen, wie wichtig ein professionelles IT-Team für Unternehmen ist. Allerdings können sich kleinere Unternehmen aus Kostengründen kein eigenes IT-Team leisten. Wie sieht es mit Outsourcing aus?
Leopold: Der Trend, IT-Funktionen virtuell aus der Cloud zu beziehen, hat sowohl ökonomische als auch innovationsbedingte Gründe. Es wird weniger notwendig, in teure IT-Infrastrukturen zu investieren und man kommt mit weniger Spezialwissen aus. Wichtig ist aber nun, die Datenhoheit und Kontrolle der eigenen Daten durch die Kunden nachhaltig zu gewährleisten. Die Industrie arbeitet an Lösungen, um dies auch sicherzustellen: von speziellen IT-Architekturen wie Private-Cloud-Systemen bis hin zu neuen Verschlüsselungstechniken.
Report: Wie sieht es mit der Sensibilisierung der Bevölkerung bzw. der Unternehmer für diese Gefahren aus? Haben wir als Laien ein realistisches Bild von den Ausmaßen oder sind wir noch leichte Opfer?
Leopold: Die ganze Digitalisierung und Vernetzung auf unserem Planeten hat in einer sehr kurzen Zeit der letzten 15 Jahre den ganzen Globus erreicht. Wir wurden als Gesellschaft dadurch überrascht und haben noch nicht ausreichende Regeln oder auch ein ausreichendes Bewusstsein im Umgang mit der neuen Technik entwickelt. Hier besteht noch ein wesentlicher Aufholbedarf. Eine grundsätzlich wichtige Funktion, um IT-Sicherheit zu erhöhen, liegt im Verhalten der Benutzer der technischen Systeme. Einerseits hat Sicherheit immer mit etwas mehr Aufwand zu tun, zum Beispiel mit unbequemerer Bedienung oder höheren Kosten. Andererseits sind die Bedrohungspotenziale vielen Personen nicht klar. Dafür müssen alle Stakeholder – Unternehmen, Wissenschaft, Forschung, aber auch Schule und Ausbildung – eng zusammenarbeiten, damit der gemeinsame Erkenntnisgewinn und die Lernkurve aller Internetanwender wesentlich verbessert werden kann.
Buchtipp: Cyber Attack Information System Erfahrungen und Erkenntnisse aus der IKT-Sicherheitsforschung In den letzten Jahren hat sich das Internet schnell zu einem massiven wirtschaftlichen Betätigungsfeld entwickelt, leider auch für illegale Unternehmungen. Das Ausnutzen von Schwachstellen in IKT-Systemen ist inzwischen ein profitables Geschäftsmodell. Das staatlich geförderte Forschungsprojekt CAIS (finanziert im Sicherheitsforschungs-Förderprogramm KIRAS vom Bundesministerium für Verkehr, Innovation und Technologie) beschäftigte sich deshalb mit der Implementierung eines Cyber Attack Information Systems auf nationaler Ebene mit dem Ziel, die Widerstandsfähigkeit der heutigen vernetzten Systeme zu stärken und ihre Verfügbarkeit und Vertrauenswürdigkeit zu erhöhen. Hauptziele dieses Projektes waren die Identifizierung der künftigen Cyber-Risiken und -Bedrohungen, die Untersuchung neuartiger Techniken zur Anomalieerkennung, die Entwicklung modularer Infrastrukturmodelle und agentenbasierter Simulationen zur Risiko- und Bedrohungsanalyse, und schließlich die Analyse und mögliche Umsetzung eines nationalen Cyber Attack Information Systems. Weitere Informationen: www.ait.ac.at/dss |