"Deutschland ist in der Fläche verwundbar"

Volker Roth im Gespräch mit Jan-Christoph Kitzler · 16.06.2011
Der Professor für IT-Sicherheit Volker Roth sieht das Cyber-Abwehrzentrum nur als ein Zeichen des Umdenkens. Für eine Prävention gegen Cyber-Attacken sei eine Mannschaft von zehn Leuten hoffnungslos überfordert: "Das können die gar nicht leisten."
Jan-Christoph Kitzler: Cyber-Krieg, das tun einige wenige noch immer als Geschichten ab aus mehr oder weniger schlechten Filmen. Aber Angriffe von Hackern sind längst Wirklichkeit: manchmal, um Sicherheitslücken zu finden, manchmal, um Schäden anzurichten. Beim Elektronikkonzern Sony wurden massenhaft Kundendaten gestohlen, selbst in die Computer des US-Rüstungsgiganten Lockheed Martin haben es die Eindringlinge geschafft, und gerade erst wurde der Internationale Währungsfonds zum Opfer. Wir alle hängen an Computern, ob wir wollen oder nicht, wenn wir Geld ausgeben, wenn wir Strom verbrauchen, und deshalb sind wir verwundbar, mehr als viele von uns ahnen.

Die Bundesregierung zumindest hat die Gefahr erkannt. Heute eröffnet der Bundesinnenminister Friedrich in Bonn offiziell das nationale Cyber-Abwehrzentrum. Wie gut sind wir gegen Cyber-Angriffe geschützt?

Das habe ich mit Volker Roth besprochen, er hält die Stiftungsprofessur Sichere Identität an der Freien Universität Berlin, und meine erste Frage an ihn war, ob die Gefahren durch Cyber-Angriffe schon angekommen sind im öffentlichen Bewusstsein.

Volker Roth: Zumindest in der Presse sind sie sehr deutlich angekommen. Ein paar Fälle haben Sie ja schon genannt. Gerade der Angriff auf RSA war sehr, sehr interessant, weil er sozusagen als Vorbereitung gedient hat auf die Einbrüche bei Lockheed Martin. Hier sind die Gegner also wohl sehr zielgerichtet vorgegangen, denn es gibt da auch nur eine gewisse Zeit, in der man die gestohlenen Geheimnisse nutzen kann, um diese dann für weitere Einbrüche zu verwenden.

Kitzler: Wer oder was bedroht uns da eigentlich? Sind das einzelne Nerds, organisierte Gruppen und was für Ziele haben die?

Roth: Eigentlich ist es eine Mischung von allem. Spätestens Stuxnet hat ja gezeigt, dass höchst wahrscheinlich die Regierungen auch sich sehr aktiv in diesem Feld betätigen.

Kitzler: Stuxnet – nur zur Erklärung -, das war der Virus, der das iranische Atomkraftwerk bedroht hat.

Roth: Richtig. Und hier kann man also sehen, dass eine große Menge an Vorbereitung und auch an Qualitätssicherung praktisch stattgefunden hat, um diesen Angriff zu ermöglichen. Das heißt, hier haben wir es mit Gegnern zu tun, die sehr viele Ressourcen einsetzen können, um gezielt ihre Angriffsziele zu verfolgen.

Daneben gibt es natürlich eine ganze Menge an Aktivistengruppen oder Spaß-Hacker. Das Beispiel Sony haben Sie ja jetzt genannt. Es gibt auch noch weitere Beispiele von Firmen, in die dann eingebrochen worden ist, siehe PBS oder InfraGard oder zuletzt im US-Senat. Und dann gibt es natürlich auch immer wieder die Hacker, die einfach Gelegenheiten ausnutzen.

Manchmal wird es den Hackern besonders einfach gemacht. Hier könnte man vielleicht den Citgroup-Hack anführen, da konnten offensichtlicherweise private Informationen abgegriffen werden, indem man einfach oben in der Browserzeile gewisse Zahlen ersetzt hat. Das ist natürlich eine Sicherheitslücke, wo man sich aus Ingenieurssicht einfach nur die Hände über den Kopf zusammenschlägt.

Kitzler: Das ganze ist natürlich längst ein globales Phänomen. Aber kann man das sagen, wo ist Deutschland besonders verwundbar zurzeit?

Roth: Leider muss man sagen, Deutschland ist in der Fläche verwundbar, denn wir nutzen ja alle international ähnliche Software, ähnliche Systeme. Die sind auch in hohem Maße mit dem Internet verbunden. Und damit entstehen natürlich Angriffsflächen und die traditionellen Sicherheitsmechanismen, die wir verwenden, wie Firewalls oder Virenscanner, die funktionieren eben nicht gegen Angreifer, die sich gezielt einzelne Ziele herauspicken und sich auf diesen Angriff vorbereiten. Es ist also sehr schwer, das im Vorfeld zu erkennen, oder sich dagegen zu schützen.

Kitzler: Können Sie mal ein Szenario entwerfen, was da passieren könnte?

Roth: Na ja, nehmen wir mal an, es wird in irgendeine Bank eingebrochen und man kann in massivem Maße Kundenkonten manipulieren. Oder nehmen wir mal an, es findet ein Einbruch in die Börse statt. Sie müssen auch gar nicht so weit greifen. Stellen Sie sich vor, wir sehen einen Angriff auf ein großes deutsches Nachrichtenmagazin, oder eine Tageszeitung, und auf der Web-Seite wird dann irgendeine Nachricht lanciert, die zu einem massiven Kurssturz an den Börsen führen würde. Mit solchen Falschmeldungen alleine könnte man schon eine ganze Menge an Dingen anrichten.

Kitzler: Also gravierende Schäden kann das verursachen. – Das neue Cyber-Abwehrzentrum – reden wir mal darüber -, habe ich gelesen, die haben zehn Mitarbeiter. Was können die eigentlich ausrichten?

Roth: Na ja, mit zehn Mitarbeitern kann man nicht viel anstellen, muss man ganz nüchtern sagen. Ich denke, das Cyber-Abwehrzentrum ist eine gewisse Reaktion auf die verschärfte Gefahrenlage, die wir also sehen, die wir auch täglich praktisch in der Zeitung lesen können, und ist jetzt erst mal ein Schritt, um entsprechend Behörden zu vernetzen und dazu zu führen, dass die kurze Kommunikationswege einrichten. Es geht also darum, neben den sozialen Grafen der entsprechenden Behörden dort kurze Wege einzuführen.

Es kann also einen ersten Schritt bedeuten, aber ein Abwehrzentrum in Bezug auf eine Prävention, da ist natürlich eine Mannschaft von zehn Leuten hoffnungslos überfordert damit, das können die gar nicht leisten.

Kitzler: Was muss denn eigentlich passieren, dass wir wirklich angemessen geschützt sind? Es ist klar: Absolute Sicherheit gibt es auch nicht in der Cyber-Welt. Aber was muss passieren?

Roth: Wir müssen flächendeckend umdenken. Ich möchte es mal mit der EHEC-Seuche vergleichen. Da haben die Menschen Angst bekommen und haben erfahren, dass da ein wirkliches Risiko dahinter steht, und angefangen, ihr Verhalten zu ändern. Sie haben angefangen, das Gemüse stärker zu waschen oder zu schälen, darauf zu achten, was sie kaufen, was sie essen. Im Bereich Cyber-Security machen wir das einfach noch nicht ausreichend.

Jeder Einzelne ist gefragt, sich da auch im Digitalen immer kräftig mit Seife die Hände zu waschen, sich mit anderen Worten zu überlegen, wenn eine E-Mail hereinkommt, ob das wirklich ein authentischer Sender ist, der die abschickt, dass man also nicht einfach unbedarft alles anklickt oder alles installiert und Programme startet.

Natürlich muss die Software uns auch entsprechende Schutzmechanismen bieten. Ich denke, dass die Hersteller hier auch noch mal ein bisschen nachlegen müssen. Die müssen einfach auch die Schutzmechanismen feingranularer machen, sodass wir das Problem angehen können, was uns in Zukunft hauptsächlich beschäftigen wird: Das ist dieses Problem der Trojanischen Pferde, dass wir Software laufen lassen, von der wir hoffen, dass sie nichts böses tut, aber der wir letztendlich nicht hundertprozentig vertrauen können.

Kitzler: Der Kampf gegen Cyber-Attacken. Das war Volker Roth, Inhaber der Stiftungsprofessur sichere Identität an der Freien Universität Berlin.
Mehr zum Thema