Was macht IT-Systeme verwundbar?

Alarm im Datenland

Es gibt eine IT-Krise. Sie ist strukturell. Warum spricht niemand darüber?





/ Zu den Katastrophenmeldungen, die einen festen Platz in den Newsfeeds haben, gehört seit einigen Jahren ein nicht abreißender Strom von Berichten über IT-Sicherheitsvorfälle: Versicherungen mit geklauten Kundendaten; permanent mit dem Internet verbundene Geräte, die ihre Eigentümer ausspionieren oder Teil eines Botnetzes werden; Wellen von Schadsoftware, die Daten der Opfer verschlüsseln und Geld für die Entschlüsselung verlangen. Dem norwegischen Konzern Norsk Hydro etwa blieb im März nach einem Ransomware-Angriff (vom englischen ransom, Lösegeld) nur ein Teil seiner Produktionskapazitäten – der funktionierende Rest wurde zum Teil im Handbetrieb, ohne Computer, gefahren. Das alles ist zur neuen Normalität geworden.

Die Schäden durch digitale Erpressungsmanöver werden zur Landplage, sie haben im vergangenen Jahr weltweit das dritte Mal in Folge zugenommen. Das Internet Crime Complaint Center des FBI gibt allein für die Vereinigten Staaten eine Schadenssumme von 3,6 Milliarden Dollar für 2018 an, gegenüber 2,3 Milliarden im Vorjahr. Der Schwerpunkt hat sich dabei von einfachen Nutzern zu Unternehmen verlagert – die können mehr zahlen.

NotPetya
Der Verschlüsselungstrojaner NotPetya hat 2017 in aller Welt Schäden angerichtet, betroffen waren vor allem Konzerne, in Deutschland etwa auch Beiersdorf. Alle Computer sowie die Telefonanlage fielen damals aus, Mitarbeiter wurden frühzeitig nach Hause geschickt. Von dem Angriff waren auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl betroffen. Weil die Windows-Systeme ausfielen, musste die Radioaktivität wieder manuell gemessen werden.

Die Zunahme an Angriffen hat auch damit zu tun, dass professionelle Schadsoftware-Entwickler selbst gehackt und ihre Werkzeuge veröffentlicht wurden. Die beiden prominentesten Erpressungswellen sind als NotPetya und Wanna-Cry bekannt und von staatlichen Akteuren ausgegangen. Ein Entschlüsseln der durch die Schadsoftware gefangen genommenen Daten war dabei gar nicht vorgesehen. Dass man als Betroffener sein Problem also dadurch lösen könnte, den Erpresser zu bezahlen, darauf sollte man sich nicht verlassen.

Meistens heißt es dann, diese oder jene Firma oder Behörde sei von unbekannten Hackern heimgesucht worden. Selten offenbaren die Artikel, wie hanebüchen die Abwehr der Unternehmen aufgestellt war: dass es keinen Plan für den Umgang mit Vorfällen gab oder schlicht uralte Systeme in Betrieb waren. Das alles wirkt wie ein Wetterbericht, der den Klimawandel außer Acht lässt: Die Schuldfrage oder wenigstens ein Nachdenken darüber, wer oder was für Extremwetterlagen verantwortlich ist, taucht nicht auf.

Wir haben uns an die IT-Angriffe gewöhnt oder nehmen sie gar nicht mehr wahr, solange wir nicht selbst Opfer werden oder zumindest indirekt betroffen sind. Die Schadenssummen, die in den Jahresbilanzen von Industrie und Behörden deklariert werden, sind weitgehend fiktional. Denn die tatsächlichen Kosten von Onlinekriminalität, Netzwerkspionage und staatlichen Cyber- angriffen sind kaum seriös zu ermitteln. Der Branchenverband Bitkom hat für die vergangenen zwei Jahre Schäden von 43,4 Milliarden Euro hochgerechnet. Darin sind allerdings auch Schätzungen für unscharfe Posten wie Imageschäden, Umsatzeinbußen durch Spionagefolgen und Patentverletzungen eingeschlossen.

Seit Geheimdienste und Militär vor Jahren begannen, erkleckliche Summen in die Entwicklung und den Kauf von Schadsoftware zu stecken und ihnen zudem ihre Digitalwaffenvorräte gelegentlich geklaut wurden, hat sich die Lage sogar noch verschlechtert, denn das Wissen lockt Hacker an. So wurden selbst die Angriffswerkzeuge der NSA schon einmal unerlaubt von Eindringlingen ins Netz gestellt.

Diese Probleme werden mit der Durchdringung aller Lebensbereiche mit Prozessoren, Software und Netzen zunehmen. Spätestens, wenn kritische Infrastrukturen wie Gesundheitswesen, Stromversorgung, Banken oder die Netze selbst betroffen sind, wird aus der abstrakten Bedrohung eine konkrete, den Alltag verändernde Gefahr.

Die Kultur der digitalen Industrien beruht auf diesem Dogma: Geschwindigkeit zählt. Als Erster am Markt sein, Konkurrenten durch schnellere Entwicklung und radikaleren technischen Fortschritt ausstechen, das ist das Prinzip der Start-up-Kultur, aus der unsere Digitalwelt entstand. Ungeduld, Ruhelosigkeit, Besessenheit vom Schneller- Sein sind neben Ehrgeiz die oft und gern hervorgehobenen Eigenschaften der Gründer der Tech-Imperien. Zur Not mit einem unfertigen Produkt auf den Markt zu gehen, Hauptsache, früher als die Konkurrenz, das gilt in der Branche nicht als anrüchig, sondern als clever. „Move fast and break things“ war lange Zeit das Motto von Facebook.

Dazu kommt eine weitere Besonderheit der Tech-Branche: Die verbindliche Zusicherung von Produkteigenschaften, klare Gewährleistungszusagen bei Mängeln und verlässliche Haftung für Schäden sind traditionell ein rotes Tuch. Software wird nicht gekauft, sondern meist lizenziert oder als Cloud-Service angemietet. Wenn es ein Problem gibt, heißt die Standardantwort: „Das wird in der nächsten Version behoben.“ Wann der Patch dann vorliegt und ob er dem Problem tatsächlich abhilft, steht für den Kunden oft in den Sternen.

So ist ein Klima entstanden, in dem die Sicherheit gegen Angriffe über viele Jahrzehnte als lästige Nebensache angesehen wurde. Aus „Wer würde denn so etwas tun?!“ wurde mit der Zeit ein „So wichtig ist unser System nicht“. Unternehmer dachten eben oft nicht viel anders als der normale Netznutzer: Man hält sich nicht für ein mögliches Ziel von Hackern. Die eigene Angreifbarkeit wurde strukturell, fast pathologisch unterschätzt. Inzwischen aber denken viele: „Hoffentlich trifft es uns nicht.“

WannaCry
2017 gab es eine weitere Cyber-Attacke: Innerhalb weniger Stunden wurden Hunderttausende Computer in mehr als 150 Ländern mit WannaCry infiziert – in Großbritannien war das Gesundheitswesen betroffen, in Deutschland die Deutsche Bahn, in Frankreich musste Renault an mehreren Standorten die Produktion stoppen. Noch heute sind Millionen Rechner weltweit für die Schadsoftware anfällig.

Dahinter steht zum einen die Annahme, dass die meisten Menschen schicke und moderne Technik haben wollen und wenig nach IT-Sicherheit fragen. Die Sicherheit seines Produktes mit der von Konkurrenten zu vergleichen fällt vielen ohnehin schwer. Zum anderen steckt hinter der Hoffnung, nicht gehackt zu werden, oft einfach nur Ohnmacht und Planlosigkeit.

Es gibt eine Grundannahme, die lautet: Moderner ist immer besser. Doch sie bröckelt seit einigen Jahren. Fragt man normale Nutzer, wünschen sie sich nicht mehr die neueste Version irgendeines Produktes – sie wollen nur, dass ihre Dokumente nicht verschwinden oder gestohlen werden, ihre persönlichen Daten nicht abhandenkommen, sie nicht ausspioniert und nicht getrackt werden.

Das haben auch die großen Tech- Konzerne im Silicon Valley erkannt und deshalb begonnen, signifikante Ressourcen für die Absicherung ihrer Systeme bereitzustellen. Restriktive interne Regeln zur Vermeidung von Programmierfehlern, Sicherheit als Grundprinzip bei der Planung von neuen Systemen und fortlaufende Sicherheits- und Code-Audits sind teuer und aufwendig. Sie haben aber bei den Betriebssystemen und direkt betriebenen Cloud-Diensten der großen fünf – Google, Amazon, Facebook, Apple und Microsoft – zu einer strukturellen Verbesserung der Situation geführt.

Seitdem werden die neuen Maßnahmen gebetsmühlenartig betont. Selbst ein Unternehmen wie Google, dessen Geschäftsmodell der Auswertung von Daten kritisiert wird, betet nun bei jeder Gelegenheit das neue IT-Sicherheitsmantra herunter und betont die Wichtigkeit von Privatsphäre und Datenschutz. Dennoch sind die geänderten Prioritäten für die Branche insgesamt wegweisend.

Die Problemzonen der IT-Sicherheit liegen in der Praxis bei den Anwendungen und Services, die in aller Regel auf den Basissystemen der großen Anbieter aufsetzen. Gerade kleinere Firmen investieren noch viel zu selten in die adäquate Sicherheit ihrer Produkte und Angebote. Es gibt eine riesige Menge an alter Software und schlampigen Systemkonfigurationen, die oft weit länger betrieben werden, als gemeinhin angenommen wurde. Zehn Jahre alte Windows-Versionen mit Dutzenden bekannten Verwundbarkeiten sind in der produzierenden Industrie, im Gesundheitswesen und in Banken oder Logistikfirmen erschreckenderweise noch massenhaft in Verwendung, obwohl es dafür schon lange keine Sicherheits-Updates mehr gibt.

Obendrein stellen im Bereich des Internet of Things, also der vielen kleinen Geräte mit Internetanbindung wie Heimrouter, Überwachungskameras oder Smart-TVs, die Hersteller schon kurz nach der Auslieferung keine Updates mehr bereit: Der Kostendruck bei Hardware ist so stark, dass eine ehrliche Kalkulation unter Berücksichtigung des Aufwands für Sicherheits-Updates über die Lebensdauer des Gerätes hinweg den Preis deutlich erhöhen würde.

Die Autoren

Constanze Kurz,
Jahrgang 1974, ist promovierte Informatikerin, Autorin und Herausgeberin mehrerer Bücher. Ihre Kolumne mit dem Titel „Aus dem Maschinenraum“ erscheint im Feuilleton der FAZ. Kurz ist Aktivistin und ehrenamtliche Sprecherin des Chaos Computer Clubs. Sie forschte an der Humboldt-Universität zu Berlin am Lehrstuhl „Informatik in Bildung und Gesellschaft“ und war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags.

Frank Rieger,
Jahrgang 1971, ist IT-Unternehmer, Hacker, Internet- aktivist und einer der Sprecher des Chaos Computer Clubs. Auch er ist Herausgeber mehrerer Bücher. 2014 sagte Rieger als Sachverständiger zu technischen Fragen im NSA-Untersuchungsausschuss des Bundestags aus. Er gehört zu den Initiatoren der „Charta der Digitalen Grundrechte der EU“, die Ende November 2016 dem Europäischen Parlament vorgelegt wurde. Darin wurde die Anerkennung von Menschenrechts- und Datenschutzstandards gefordert.

Die derzeitige Situation wird durch die nicht mehr zu leugnende totale Abhängigkeit von vernetzten digitalen Systemen zunehmend unhaltbar. Es bedarf grundlegender Änderungen, um nicht Katastrophen zu riskieren, die zu drastischen Einschnitten in das Alltagsleben von uns allen führen.

Eine sinnvolle Reaktion auf die derzeitige Lage bei der IT-Sicherheit fehlt aber nicht nur in den Unternehmen selbst und den Regeln, unter denen sie ihre Geschäfte machen. Unverzichtbarer Teil einer systematischen Antwort auf die Misere ist auch die bessere Ausbildung derjenigen, die Systeme bauen und warten. Solange es nicht Pflicht ist, an Hochschulen und in der Berufsausbildung das Design sicherer Systeme zu lehren und quasi das Denken eines Hackers zu erklären, kann es auch nicht genug Techniker geben, um sichere Software zu konzipieren und in der Praxis umzusetzen.

Zugleich muss sich jedes Unternehmen fragen, nach welchen Kriterien es Programmierer oder Administratoren einstellt: Werden Fragen nach IT-Sicherheit von Anfang an mitbedacht? Oder meint man, dass dieser Bereich eine untergeordnete Rolle spielt?

Es genügt nicht – und wird in Zukunft erst recht nicht reichen – sich nur ein paar hoch spezialisierte IT-Security- Leute ins Unternehmen zu holen. Stattdessen muss jeder einzelne Mitarbeiter, der mit Computern in Kontakt ist, darauf trainiert werden, nicht zum Sicherheitsproblem des eigenen Arbeitsgebers zu werden. Und das gilt auch für die Führungsebene.

IT-Sicherheit muss heute permanent mitgedacht werden. Das klingt wie eine Binsenweisheit, bedeutet aber vor allem, dass sie Löcher in Budgets reißt, nimmt man den Satz wirklich ernst. Denn jede Mitarbeiterschulung, jede Weiterbildung kostet Geld. Gut trainiertes Personal ist nicht günstig zu haben.

Dazu kommt der Aufwand für eine sinnvolle Planung der IT-Sicherheit auf allen Ebenen des Unternehmens. Mit hoher Wahrscheinlichkeit wird die Umsetzung solcher Planungen in vielen Firmen handfeste Konflikte auslösen, schließlich haben IT-Sicherheitsmaßnahmen gelegentlich die Eigenschaft, gegen Bequemlichkeit und Schnelligkeit von Unternehmensprozessen zu wirken.

Was im Jahr 2019 auch nicht mehr wirklich akzeptabel sein kann, ist das kopflose Vorgehen nach einem IT-Angriff oder einem Ausfall aus anderen Gründen. Doch auch Pläne für den Ernstfall kosten nun mal Zeit und Euros. Dass so ein Abwehrplan am Ende Geld und Nerven spart, muss in Unternehmen aber erst verstanden werden. Dass er sinnvoll ist, haben die Stadtwerke Ettlingen gezeigt: Nach einem Penetrationstest mit desaströsen Ergebnissen bauten die Verantwortlichen nicht nur die technische Infrastruktur um, sondern sorgten durch deutlich mehr Personal und systematische Schulungen der Mitarbeiter auch für eine nachhaltig veränderte Einstellung zum Thema IT-Sicherheit.

Unternehmen in der Breite dazu zu bringen, sich der Verantwortung für Privatsphäre und Sicherheit ihrer Kunden zu stellen, wird wohl kaum allein mit blindem Vertrauen in die Kräfte des Marktes umzusetzen sein. Dazu braucht es branchenspezifische Standards für die Sicherheit von digitalen Systemen, die verbindlich sind und kontinuierlich und in rascher Folge auf den neuesten Stand gebracht werden.

Ein weiterer Baustein für die Sicherheit ist die gesetzliche Festlegung von Schadenersatzsummen für weggekommene Daten und durch Angriffe ausgefallene Systeme. Das macht Risiken kalkulierbar und ermöglicht damit die Etablierung von Haftpflicht-Regelungen, die wie in allen anderen Bereichen der Wirtschaft funktionieren. Wer ein risikogeneigtes System betreibt, muss es versichern, und die Versicherung wird bezahlbare Beiträge nur dann offerieren, wenn Gefahren nach dem aktuellen Stand der Technik eingedämmt werden.

Natürlich kommt es bei solchen Regeln auf die Details an, es müssen etwa Lösungen gefunden werden, die es Start-ups und kleinen Unternehmen ermöglichen, trotzdem loszulegen, um nicht die Konzentration der Innovationskräfte bei den großen Tech-Konzernen weiter zu beschleunigen.

Um den Kunden überhaupt eine Möglichkeit zu geben, ihr Geld lieber Anbietern mit sichereren und zuverlässigeren Systemen zu geben, müssen für die Einhaltung der Standards klare Kennzeichnungspflichten gelten – ähnlich denen für Energie- und Wasserverbrauch bei Haushaltsgeräten.

Nur dann wird es möglich sein, ehrliche Preise zu kalkulieren, für Produkte und Services, die zuverlässig und sicher sind. Ganz nebenbei könnte sich damit auch die effektive Nutzungsdauer von Digitalgeräten verlängern, was wiederum gut für die Umwelt und den Ressourcenverbrauch wäre. //

Constanze Kurz und Frank Rieger: Cyberwar – Die Gefahr aus dem Netz, C. Bertelsmann Verlag, 2018, 288 Seiten, 20 Euro

brandeins /thema ist das Heft, das Branchen und Trends auf den Grund geht, Märkte und Dienstleistungen transparent macht – und Unternehmern hilft, besser zu wirtschaften.

Zur interaktiven Karte und Bestenliste

Einzelausgabe kaufen
Abonnement kaufen