Sind wir zu sorglos geworden?

IT-Sicherheit ist wichtig, das habe ich nun schon einige Male in meinem Blog geschrieben. Denn noch kann man es nicht oft genug sagen. Auch stellt sich mir recht oft die Frage: Sind wir zu sorglos geworden? In meinem Artikel Wie viel Neuerung tut uns gut? stellte ich mir die Frage, sind wir auch bereit für die ganzen neuen Techniken? Was ist schuld daran, das wir viele relevante Sicherheitskriterien außer Acht lassen. Letzte Woche fand die IT-Sicherheitskonferenz DeepSec in Wien statt. Durch Golem, konnte man einiges interessantes darüber erfahren. Überraschenderweise deckten sich viele Aussagen, Argumente und Thesen mit meinen Vermutungen.

Cyberwar hier, Cyberwar dort

Wir leben in einer aufgewühlten Netzwelt, die von Hackerangriffen, Leaks und Datensammlern übersät ist. Da passt doch der Begriff Cyberwar perfekt ins Schema rein. Aber ist das auch so? Als ich dieses Wort das erste Mal gelesen habe, musste ich leicht grinsen. Ich empfand es als witzig, dass man ein paar gewöhnliche und alltägliche Hackerangriffe als einen Krieg im Internet bezeichnet. Dummerweise hat sich der Begriff nun schon so weit in die Köpfe eingebrannt, dass er für sämtliche Kompromittierungen im Web steht. Dabei wissen die Meisten nicht mal, was dahinter steckt. Aber Hauptsache man redet mit. Stefan Schumacher widmete sich auf der DeepSec genau dieses Thema (Artikel auf Golem lesen).

Anonymous Hacktivist (Quelle: gaelx, Liz. CC BY-SA 2.0)
Anonymous Hacktivist (Quelle: gaelx, Liz. CC BY-SA 2.0)

Auch er meint, dass dieser Begriff überstrapaziert sei. Er geht noch einen Schritt weiter und gesellt den Cyberfrieden hinzu. Betont aber gleich, dass es diesen nie geben wird. Ferner beleuchtet er, dass die Behörden das Internet mit seinen Mechanismen nicht verstehen. Das trifft sich ebenfalls mit meiner Meinung. Die Staaten wollen aktuell alles daran setzen, das Internet zu kontrollieren. Merken dabei aber gar nicht, dass sie das nicht können. Zum andern sind Behörden beispielsweise meist schlechter gegen Hackerangriffe gerüstet, als eine Privatperson. Da ist dann ernsthaft die Frage, wer will hier wem etwas von Sicherheit erklären.

Fahrzeugsicherheit nicht nur im Straßenverkehr

Informationstechnik findet immer mehr Anwendung in unserem Leben. Nicht nur PCs, Tablets und Smartphones. Beispielsweise sind Autos heute fahrende Schaltzentralen. Immer mehr Informationstechnologie wird darin verbaut. Constantinos Patsakis und Kleanthis Dellios sprachen darüber auf der DeepSec und forderten eine Rechteverwaltung für Autos (Artikel auf Golem lesen). Das ist im Grunde auch nicht blöd, weil man mit dem Autoschlüssel zum vollwertigen Administrator über sein Fahrzeug wird. Es ist auch möglich mit einer anderen Komponente eine andere anzusprechen, das ohne jegliche Prüfung, ob man das darf oder nicht.

Dodge Viper SRT-10 (Quelle: joeross, Liz. CC BY-NC 2.0)
Dodge Viper SRT-10 (Quelle: joeross, Liz. CC BY-NC 2.0)

Vor einigen Jahren wurde im Fernsehen über Autodiebe berichtet. Wagen, die als sehr sicher galten, weil sie die neuste Technik an Board hatten, wurden recht einfach geknackt. Dabei wurde zum Beispiel der Steuercomputer ausgetauscht und schon gehörte einem das Fahrzeug nicht mehr. Da wurde selbst mir bereits klar, wie unsicher das ist. Es gibt schließlich nicht zum Spaß den Grundsatz: Desto mehr Technik drin steckt, umso komplexer wird es. Die Autohersteller müssen sich diesen „neuen“ Gefahren bewusster werden und daran arbeiten, dass die Systeme sicherer werden. Ein weiteres Problem ist, das die eingesetzte Software Closed Source ist und daher auch eventuelle sicherheitsrelevante Programmierfehler nicht auszuschließen sind.

Mit Minusbeträgen zum reichen Mann

Die Sicherheit von kritischen Infrastrukturen, wie Stromnetz, Wasserversorgung etc. stand auch auf dem Plan der DeepSec 2011. Penetration-Tester Mitja Kolsek liefert erstaunliche Ergebnisse zu Bank Servern. In fast jeder Bank gibt es seiner Aussage nach Sicherheitslücken. Meist werden die Angriffe aber bemerkt. Trotzdem spricht das nicht für eine korrekte Sicherheit. Es sei ihm beispielsweise auch gelungen, mit Minusbeträgen aus dem Nichts heraus Geld zu erzeugen. Den ausführlichen Bericht kann man ebenfalls auf Golem lesen.

Bank Sicherheit (Quelle: joebeone, Liz. CC BY 2.0)
Bank Sicherheit (Quelle: joebeone, Liz. CC BY 2.0)

Für mich war es überraschend, dass Banken sehr häufig eigentlich einfache Schwachstellen aufweisen. Mit relativ geringem Aufwand könnten Hacker sich Geld generieren und man müsste keine Kunden mehr attackieren, da dazu kein konkreter Nutzer mehr benötigt würde. Oft sind auch die Server der Banken nicht ausreichend geschützt. Mittels bekannter Angriffsmethoden sei es in einigen Fällen möglich gewesen, an Datensätze zu kommen. Für Angreifer sind Bankdaten Gold wert. So erspart es meist das Social Engineering.

Ich weiß etwas, was du nicht weißt

Social Engineering (Quelle: truthout, Liz. CC BY-NC-SA 2.0)
Social Engineering
(Quelle: truthout,
Liz. CC BY-NC-SA 2.0)

Ganz wird aber nicht auf Social Engineering verzichtet, so nutzt etwa die Sicherheitsexpertin Sharon Conheady diese Methodik. Erst verschafft sie sich über soziale Netzwerke die nötigen Informationen über eine Person und konfrontiert diese Person anschließend damit. Golem taufte den Bericht auf die Headline: Facebook ersetzt die Mülltonne. Klar, damals wühlte man vor dem Nachbarhaus in der Tonne, um so manch schmutziges Geheimnis zu entdecken. Heute gibt es dafür Facebook und Konsorten.

In Conheady’s Augen ist der Mensch das größte Sicherheitsrisiko und man müsse mehr Aufklärungsarbeit leisten. Die sozialen Netzwerke sind eine wahre Fundgrube an Informationen, die sich für vielfältige Zwecke verwenden lassen. Beispielweise für Produktwerbung, Profilbildung und Verkauf von Datensätzen, bis hin zu kriminellen Handlungen wie Account- und Identitätsdiebstähle. Der Fallanalytiker Axel Peterman beschreibt dies auch sehr gut in einem Interview der Zeit Online.

Zusammenfassend lässt sich sagen, dass oftmals das Bewusstsein für die sichere und verantwortungsgerechte Nutzung fehlt. Egal ob Auto, soziales Netzwerk oder die Eigene PC Sicherheit. Ich meine … Wer braucht schon IT-Sicherheit?


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.