Partner von
Partner von

Claudia Eckert im Interview

IT macht das Leben bequemer – aber auch anfällig für Angriffe und Manipulation. Die Sicherheitsexpertin Claudia Eckert kämpft mit intelligenter Technik dagegen an.




Frau Eckert, wir kaufen online mit Kreditkarte ein, auf den Rechnern der Händler liegen unsere Kundendaten. Wir kümmern uns um unser Konto mit Smartphones, die gestopft sind mit Apps. E-Mails fließen natürlich unverschlüsselt, und unsere Computer sind nicht besonders gesichert. Sind wir verrückt?

Claudia Eckert: Wer so handelt, ist zumindest sehr vertrauens- selig. Es ist so, als würde man in der realen Welt sein Fahrrad nicht anschließen, die Haustür nicht abschließen oder Auto fahren, ohne sich anzuschnallen. Im realen Leben haben wir gelernt, dass man das nicht tun sollte, in der digitalen Welt stehen wir erst am Anfang. Wir haben oft noch das Urvertrauen, dass alles gut geht.

Welchen Risiken setze ich mich auf diese Art aus?

Sie stehen mit einem Bein im Gefängnis, denn mit ungesicherten IT-Systemen können Sie Mitglied eines Bot-Netzes werden und damit zum Mittäter von Cyber-Angriffen, was strafrechtlich Konsequenzen haben kann. Jemand könnte Ihre Identität stehlen und mit Ihren Kreditkartendaten einkaufen gehen. Oder Sie werden belästigt von Unternehmen, die Ihre Daten sammeln und Ihnen Dinge andrehen wollen, die Sie nicht interessieren. Bei ungesicherten Smartphones kann man feststellen, mit wem Sie Kontakt haben und wo Sie sich aufhalten – weshalb die Versicherung beim nächsten Mal vielleicht sagt: Das wird teurer, denn Sie sind in gefährlichen Gegenden unterwegs.

Trotz dieser Gefahren träumen wir vom autonomen Fahren, von intelligenten Häusern, einer wunderbar bequemen, vernetzten Welt. Wundert Sie das?

Nein, wir Menschen sind so. In unserer Entwicklung hat es immer wieder Phasen gegeben, in denen Neues ausprobiert wurde, und in diesen Phasen lebt man mit einem höheren Risiko. Wie bei den Dampfmaschinen, die den Leuten immer wieder um die Ohren flogen. Jetzt ist das Digitale in einer solchen Hochrisikophase, und wir müssen den Absprung noch rechtzeitig hinkriegen, so wie bei den Dampfmaschinen, nachdem das Sicherheitsventil erfunden wurde. Wir brauchen nun entsprechende Sicherheitslösungen.

Müssen wir denn wirklich Angst haben?

Ja, das Risiko ist echt, denn das Alltagshandeln birgt nur einen Teil der Gesamtgefahr. Schauen Sie sich die Medizintechnik an. Röntgengeräte sind heute wegen der Fernwartung vernetzt – was ist, wenn jemand von außen die Strahlendosis erhöht? Oder Sie hängen an einer Infusionspumpe und ein Angreifer steuert, was und wie viel in Sie hineinkommt? Auch Herzschrittmacher können aus der Ferne getunt werden. Solche Probleme haben wir in allen Lebensbereichen, weil IT überall eindringt.

Aber ist auch jeder betroffen? Ist der Einzelne nicht zu unbedeutend, als dass sich Angreifer um ihn kümmern würden?

Dieses Argument zieht nicht, denn viele Angriffe erfolgen gießkannenartig. Man nimmt mit, wen man kriegen kann. So kann es geschehen, dass man Opfer von Cyber-Erpressern wird, die zum Beispiel in meinen Rechner eindringen, meine Daten verschlüsseln, sodass ich sie selber nicht mehr lesen kann, und mir den Schlüssel zu meinen Daten nur geben, wenn ich Lösegeld, etwa in Bitcoins, zahle. Das ist real. In den Medien erscheinen immer nur die Monsterangriffe mit Millionen gestohlenen Datensätzen, aber viel geschieht im Kleinen. Es wird abgehört, Daten werden abgefangen, doch darüber spricht niemand gern.

Betrifft das auch Unternehmen?

Absolut. Produktpiraterie ist ein großes Thema, etwa bei Software, die eins zu eins kopiert wird. Und bei der Industrie 4.0 mit ihren vernetzten Produktionsanlagen wird die Manipulation von Daten immer mehr zum Problem. Wenn eine Schweißmaschine aufgrund manipulierter Daten nur eine winzige Abweichung hat, dann ist die Schweißnaht und damit das Produkt unbrauchbar. Das geht zwar noch durch die Endkontrolle, aber ist das Produkt draußen, hat die Firma schnell ein Qualitätsproblem. Das ist durchaus schon passiert.

Wer macht so etwas?

Zum Beispiel die Konkurrenz, denn so kann man ein Unternehmen besonders stark schädigen. Nichts ist so schnell verspielt wie ein Qualitäts-Image.

Die Bedrohung kommt also von außen?

Die Gewichte haben sich verschoben. Früher kam die größte Bedrohung von innen, also etwa von Mitarbeitern, die ihrem Arbeitgeber eins auswischen wollten. Mittlerweile haben wir eine schier überbordende Vernetzung über Unternehmensgrenzen hinweg, was Angriffe von außen deutlich einfacher macht. Spionage durch die Konkurrenz ist deshalb immens gestiegen. Und Angriffe auf die IT sind heute Teil des organisierten Verbrechens. Früher ging man mit vorgehaltener Pistole vor, heute schleust man Erpressungssoftware ein. Auch Staaten, Geheimdienste und einzelne Hacker mischen mit. Es geht um Geld, um Macht, um Neid. Manchmal sind die Angriffe so etwas wie intellektuelle Wettkämpfe zwischen Angreifer und einem Opfer, das sich zu wehren versucht.

Das geht so einfach? Schützen sich die Unternehmen nicht genug?

Die großen Unternehmen tun schon lange viel für die IT- Sicherheit, und viele mittelständische Unternehmen ziehen mittlerweile nach. Das Problem ist nur: Man muss die Leute haben, die Sicherheitssysteme implementieren und betreuen können. Und dieses Personal fehlt überall.

Liegt es auch an der sprichwörtlichen Kraut-und Rüben-Landschaft gewachsener IT-Strukturen?

Das ist ein weiteres Problem, daran scheitern gerade viele Mittelständler. Eine solche Landschaft sicher zu machen erfordert einen enormen Aufwand, weshalb viele Unternehmen im Status quo verharren. Aber so bleibt Sicherheit eine Chimäre.

Gilt das auch für Staaten? Wie angreifbar sind wir?

Es sieht schlecht aus. Dass der Bundestag gehackt wurde, ist nur ein kleines Zeichen dafür. Die gesamte IT-Infrastruktur bei Behörden und auf Regierungsseite ist höchst anfällig für das Absaugen von Informationen. Wir sind da keine führende Nation.

Schwarzseher rechnen damit, dass fremde Mächte unsere Wahlen manipulieren oder dass uns Terroristen flächendeckend das Licht ausknipsen. Ist das übertrieben?

So grausig es klingt – genau das wird die nächste Welle der Angriffe sein. Deshalb müssen wir uns bewusst machen, dass wir auch digital verwundbar sind. Wenn unsere Energieversorgung abgeschaltet wird, bricht hier das Chaos aus. Es wird keine Wasserversorgung geben, keine Ordungsstrukturen. Wer an einem solchen Knopf sitzt, hat die Macht, und es gab schon höchst fragwürdige Blackouts.

Sie sind schon sehr lange im Thema. Haben Sie mit einem solch umfassenden Bedrohungsszenario gerechnet?

Nein, denn dieses Maß der digitalen Vernetzung hatte man vor Jahren nicht auf der Agenda. Früher gab es bei IT-Systemen eine klare Trennung von Innen und Außen und definierte Türen dazwischen.

Jetzt sind die Kommunikationsketten schier endlos, und es gibt immer einen wunden Punkt. Die IT ist mittlerweile wie ein Schweizer Käse, man kommt durch 1000 verschiedene Löcher hinein. Das war nicht abzusehen.

Bauen wir uns eine schöne neue digitale Welt auf tönernen Füßen? Wie ein Auto ohne Bremse?

Ein großer Teil unserer Gesellschaft ist auf diesem Weg. Schöner, höher, weiter – über Sicherheit reden wir später. Aber wir dürfen die Dinge nicht dem Zufall oder der Eingebung der Nutzer überlassen, sondern müssen IT-Systeme bauen, die von Grund auf weitgehend sicher sind.

Denn Sicherheit ist auch die Grundlage einer wirtschaftlichen Weiterentwicklung, so wie die Bremse im Auto. Ohne eine Bremse könnte kein Anbieter schnelle Autos bauen und verkaufen. Das Problem ist nur, dass viele Unternehmen Sicherheit als Entwicklungsbremse ansehen, weil sie die gewohnten Abläufe komplizierter machen kann.

Werden wir der Bedrohung durch IT-Angriffe noch nicht Herr, weil wir nicht genug Wissen haben? Oder liegt es an der fehlerhaften Anwendung unseres Wissens?

Eigentlich wissen wir recht gut, wie wir diesen Bedrohungen begegnen können. Wir haben einen ganzen Legokasten aus Sicherheitsbausteinen für Hard- und Software, können also recht gut sichere technische Systeme bauen. Nur setzen wir nicht alle Lösungen um.

Hinzu kommt eine weitere Schwäche: Wenn man ein solches System implementiert hat, muss es in einem Gesamtkunstwerk wie der vernetzten Produktion so funktionieren, dass es die eigentlichen Abläufe nicht stört – und das gelingt nicht immer.

Außerdem ist Technik nicht alles. Ist sie einmal installiert, muss sie sich weiterentwickeln. Ein Sicherheitssystem muss man überwachen und verbessern, dazu braucht es Angriffsprognosen und Ideen für mögliche Abwehrmechanismen. Dafür haben wir keinen Bauplan, da zählt der menschliche Faktor. Wir brauchen also Sicherheitstechnik, die stärker aus der Sicht des Nutzers agiert. Und daran mangelt es noch.

Was bedeutet das für die Arbeit des Fraunhofer AISEC? Sie sind schließlich die Spezialisten für die Technik.

Wir achten darauf, dass wir die Menschen nicht überfordern, etwa indem wir keine scheinbaren Komplettlösungen für ein allumfassendes Sicherheitsproblem entwickeln, sondern uns fokussieren: auf ein Stück Hardware, also zum Beispiel einen wirklich sicheren Chip. Oder ein Verfahren, das Apps daraufhin durchleuchtet, welche Daten sie abgreifen und wohin sie diese Daten weiterleiten.

Für vernetzte Anlagen haben wir ein Frühwarnsystem entwickelt, das Anomalien im Prozess erkennt, die auf einen Hackerangriff hindeuten können, etwa merkwürdige Werte beim Druck oder der Temperatur. Oder eine Folie, die man auf elektronische Bauteile kleben kann und die im Falle eines Hackerangriffs alle Daten löscht. Ebenso wie die Software, die verloren gegangene Firmenhandys löscht.

Wie kriegen Sie das hin?

Bei uns arbeiten Mathematiker, Elektrotechniker, Informa-tiker, Betriebswirte und Sozialwissenschaftler. Manche befassen sich jahrelang mit grundsätzlichen Methoden, andere sind richtige Hacker, die Spaß daran haben, herauszufummeln, wie man in ein System hineinkommt.

Man probiert viel aus, Versuch und Irrtum sind wichtig. Es hat was sehr Spielerisches. Am Ende sollte etwas dabei herauskommen, das so einfach ist, dass der Mensch keinen Fehler mehr machen kann, denn sonst schlagen irgendwann Schludrigkeit oder Unkenntnis zu. Und das sind die gefährlichsten Einfallstore.

Aber entsteht dadurch wirklich Sicherheit? Technische Lösungen scheinen lediglich zeitliche Vorsprünge zu sichern. Man schließt eine Lücke, und dann läuft das Hase-Igel-Spiel mit möglichen Angreifern weiter. Bis zur nächsten Lücke.

Derzeit ist das noch so. Deshalb wollen wir Systeme bauen, die wirklich unumgehbare Anker sind, weil sie auftretende Lücken selbstständig erkennen und schließen. Dafür benutzt man maschinelle Lernverfahren, aber man muss auch Hardware entwickeln, in die man schnell etwas Neues integrieren kann – etwa ein neues Verschlüsselungsverfahren. Das geht bislang nicht, weil es meist physisch mit der Hardware verdrahtet ist, bei einem Wechsel müsste man also die gesamte Hardware wegwerfen. So kann man schlecht proaktiv eine Bedrohung verhindern. Aber selbstregulierende Architekturen – darauf laufen wir auf jeden Fall zu.

Heißt das, dass es künftig Sicherheitssysteme geben wird, die schlauer sind als der schlaueste Hacker?

Das ist durchaus möglich, so wie es bereits heute Schachcomputer gibt, die jeden Schachspieler besiegen. Die Frage ist, ob unsere Systeme alle Varianten eines möglichen Eindringens durchkalkulieren und sich dagegen wappnen können, denn Hacking ist auch ein kreativer Akt, und damit haben Maschinen ihre Schwierigkeiten.

Aber beim maschinellen Lernen arbeitet man nicht nur festgelegte Algorithmen ab, sondern generiert aus den Daten auch wirklich neue Erkenntnisse. Deshalb besteht schon die Chance, den Hackern mit guten Deep-Learning-Verfahren einen Schritt voraus zu sein. Aber das ist ein neues Feld, wir reden von einem Zeithorizont von fünf bis zehn Jahren.

Es dauert also, und ob es klappt, ist ungewiss. Handeln müssten wir aber schon jetzt, etwa indem wir vorhandene Sicherheitstechniken wirklich einsetzten. Wäre es nicht an der Zeit, dass mehr durch den Gesetzgeber reguliert wird?

Ich finde schon, dass der Staat eine Fürsorgepflicht hat, und zwar nicht nur für besonders kritische Infrastrukturen wie die Wasser- und Energieversorgung. Schauen Sie sich doch nur zu Hause um, was es da alles an smarten Dingen gibt. Fern-seher, Thermostate, Kaffeemaschinen – kein Mensch schaut nach, was darin verbaut ist. Bei Medizingeräten ist es nicht anders. Auch was später mal in einem autonomen Fahrzeug verbaut wird, muss mit Sicherheit reguliert werden.

Wie soll das konkret aussehen?

Alles, was verkauft werden soll, müsste ein Zertifikat bekommen. Eine Art TÜV-Plakette für Cyber-Sicherheit, die garantiert, dass bestimmte Sicherheitsmaßnahmen in diesem Produkt enthalten sind. Auch an der Haftung könnte der Gesetzgeber drehen, für den Fall, dass ein Unternehmen unsichere Produkte verkauft mit Soft- oder Hardware, die unterwandert werden kann.

Was ist denn, wenn ein Produktionsbetrieb gehackt wird und deshalb minderwertige Waren auf den Markt bringt, die Leib und Leben gefährden? Heute haben wir eine offene Haftungsfrage – und Softwarehaftung gibt es überhaupt nicht. Auch deshalb haben Hersteller wenig Druck, für Sicherheit bei ihren Produkten zu sorgen. Mehr Haftung wäre ein wirksamer Hebel dafür.

All das geht der Gesetzgeber aber nicht an. Warum?

Die Zurückhaltung ist wohl eine Folge des Lobbyismus vonseiten der Unternehmen. Ich verstehe das sogar, schließlich müssten sie Produkte in höherer Qualität herstellen, was sie teurer macht. Man muss Abnahmeprozesse entwickeln, Gebühren bezahlen, Risiken absichern – natürlich erhöht sich der Aufwand.

Wenn allein die deutschen Unternehmen dieses Prozedere einhalten müssten, würde das den einen oder anderen angesichts globaler Konkurrenz sicher vom Markt fegen. Und wenn diese Regeln für alle Produkte gälten, die in Deutschland verkauft werden, müssten internationale Unternehmen für einen in ihrem Fall womöglich sehr kleinen Teilmarkt teure Sondermodelle bauen. Deshalb ergeben solche Regularien nur dann Sinn, wenn sie zumindest auf EU-Ebene erstellt werden.

Einfach umzusetzen ist das aber nicht.

Nein, aber wir brauchen trotzdem dringend eine Art Cybersecurity-Abkommen für Mindeststandards. Die Politik muss globale Allianzen schmieden im Sinne der Verbraucher, Bürger und Staaten. Bei der NATO haben wir doch auch erkannt, dass nationalstaatliche Lösungen nicht ausreichen.

Was kann eine Gesellschaft, was können Bürger tun, um sich besser abzusichern, solange es Sicherheitslücken gibt?

Sicherheit ist auch eine Kulturfrage, und eine wirkliche Sicherheitskultur haben wir noch nicht entwickelt. Da geht es um kleine Dinge, etwa das Bewusstsein, dass man schützenswerte Firmendaten nicht auf seinem privaten Laptop hat – man glaubt es kaum, aber das ist immer noch ein großes Problem. Und im globalen Maßstab ist es ein beträchtlicher Unterschied, ob ich eine Sicherheitslösung mit einem deutschen, chinesischen oder indischen Ansprechpartner entwickeln und implementieren will. Das hat in international vernetzten Unternehmen sehr reale Folgen, denn in verschiedenen Kulturen herrschen mitunter sehr unterschiedliche Vorstellungen darüber, wie etwas zu sein hat.

Ein chinesischer Ingenieur wird wahrscheinlich immer behaupten, dass er die gewünschte Sicherheitslösung selbstverständlich einbauen wird, zugleich aber vielleicht versuchen, einen Weg zu finden, mit der sich die Sicherheitskomponente umgehen lässt. Etwa weil er sie unnötig und lästig findet, so wie das Anschnallen im Auto – in China ist so ein kleines Gerät der Renner, mit dem man das nervige Warndöngeln ausschalten kann, das ertönt, wenn man den Gurt nicht schließt. Solche Unterschiede muss man beachten, sonst nützt einem Unternehmen die schönste Sicherheitslösung nichts.

IT-Sicherheit erfordert Verantwortung jedes Einzelnen, auch in Unternehmen. Die übernimmt freilich nur, wer sich mit seinem Arbeitgeber identifiziert. Entscheidet sich Sicherheit damit auch schlicht am alltäglichen Umgang miteinander?

Selbstverständlich, denn zufriedene Mitarbeiter sind loyaler, und entwickeln mehr Verantwortungsgefühl, weshalb sie ihrem Arbeitgeber nicht aktiv schaden wollen. Und sie akzeptieren Sicherheitsmaßnahmen auch dann, wenn sie die gewohnten Abläufe stören.

Mittelfristig kann so etwas auch Angriffe von außen abwehren, zum Beispiel weil sich Mitarbeiter trauen, merkwürdige Vorgänge zu melden. Das wird in einer Repressionskultur, in der man keine Fehler machen darf, natürlich nicht geschehen.

Was an der immer weitergehenden Vernetzung selbst aber nichts ändert. Müssten wir uns von der Vorstellung verabschieden, dass das immer so weitergeht?

Das ist schwierig. Wer soll denn bestimmen, wann wir aufhören? Der Verbraucher wird nie erkennen, wann für ihn Schluss sein sollte, denn in der digitalen Welt haben wir kein fühlbares Crashtest-Szenario. Wer mit seinem Auto mit hoher Geschwindigkeit über die Straße brettert, hat eine genaue Vorstellung davon, was mit ihm geschieht, wenn der Bremsweg nicht mehr ausreicht – schreckliche Schmerzen, Krankenhaus, womöglich der Tod.

In der digitalisierten Welt aber merkt man nichts physisch, und das ist eine große gedankliche Barriere. Wenn der Mensch etwas nicht fühlen kann, ist er bei der Suche nach den eigenen Grenzen überfordert. Und den Unternehmen dürfen wir die Entscheidung schon gar nicht überlassen, denn die wollen vor allem verkaufen.

Wo soll das enden?

Das weiß niemand. Aber wir können einen Rahmen setzen, sodass sich die Entwicklung selbst reguliert. Mit Zertifikaten, Haftung, möglicherweise müssten wir auch verpflichtende Versicherungen einführen, um Bedrohungen und Schäden zu handhaben.

Vielleicht müssen wir dazu verdonnert werden, uns gegen Cyber-Risiken abzusichern, so wie bei der Krankenversicherung. Oder ein ähnliches Netzwerk aufbauen, nur nicht mit Ärzten und Apothekern, sondern mit Sicherheits-Helfern. Eine Infrastruktur für Cyber-Hygiene und Cyber-Gesundheit. Das klingt zwar spinnert, aber wie sollen wir denn sonst weiterkommen? Digitalisierung gehört zur Grundversorgung, da kann es keine formalen Grenzen geben. Am Ende kann man nicht mehr schaffen, als Risiken zu minimieren und unvermeidbare Schäden bestmöglich abzufedern.

Was müssen die Menschen dafür lernen?

Risikoverhalten. Sie müssen sich bewusst machen, in welcher digitalen Welt sie leben, und ständig hinterfragen, was sie in dieser Welt tun. Was passiert da? Ist es das wert? Nur so kann man Risiken zumindest bewusst eingehen. Diesen Lernprozess kann ihnen auch das beste Sicherheitssystem niemals abnehmen. Irgendwann muss man seinen gesunden Menschenverstand einsetzen.

 

Wozu hat das bei Ihnen persönlich geführt?

Ich habe viele klassische Dinge im Einsatz – was mir wirklich wichtig ist, steht auch auf Papier. Bewusste Redundanzen sind also meine Ausfallsicherheit. Apps nutze ich fast gar nicht, und natürlich habe ich einen überdurchschnittlich gesicherten Rechner. Verschlüsselte Mails lese ich niemals auf meinem Handy, und Onlinebanking mache ich nur sehr gut gesichert zwischen zwei klar definierten Konten. Online eingekauft habe ich eigentlich noch nie, vor allem aber, weil ich darauf keine Lust habe. //

Im Dienst der Sicherheit

Die Informatikerin Claudia Eckert, 58, ist Gründerin und geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) in Garching bei München und Professorin für IT-Sicherheit an der Technischen Universität München. Zu ihren Forschungsschwerpunkten zählen die Entwicklung von Technologien zur Erhöhung der System- und Anwendungssicherheit und die Sicherheit eingebetteter Systeme und Techniken zur Abwehr von Hackerangriffen. Als Mitglied in diversen industriellen und wissenschaftlichen Gremien berät sie Unternehmen, Verbände und Politik in Fragen der IT-Sicherheit. Am Fraunhofer-AISEC entwickeln mehr als 100 Wissenschaftler und Techniker im Auftrag von Unternehmen und der öffentlichen Hand umfassende Lösungen zur IT-Sicherheit, bei Hard- wie Software. Das Portfolio reicht von der Analyse und Testung bestehender Produkte und Anlagen bis zur Entwicklung sicherer Komponenten und Systeme, die Münchner unterstützen zudem bei der sicheren Nutzung von mobilen Endgeräten und Cloud-Diensten. Besondere Schwerpunkte liegen auf dem Schutz der Hardware, der Entwicklung von Konzepten, um eine souveräne, kontrollierte Datennutzung zu ermöglichen, sowie der Entwicklung von Sicherheitslösungen für autonomes Fahren, die sichere industrielle Automation und Sicherheitskonzepte für das Internet der Dinge.