Eine Blaupause für den Ernstfall


Sie tragen Namen wie WannaCry oder Petya und infizieren oft hunderttausende Computer gleichzeitig: Es sind Schadprogramme, die die Daten der Nutzer auf den Rechnern verschlüsseln oder Informationen stehlen. Der wirtschaftliche Schaden durch derartige Angriffe hat sich seit 2013 verfünffacht und summierte sich laut der Polizeibehörde Europol zuletzt auf 265 Milliarden Euro im Jahr.

Die EU-Kommission will den Kampf gegen die Angriffe aus dem Netz deswegen jetzt verschärfen. „Es könnte verheerende Folgen haben wenn es uns nicht gelingt, die Technik hinter unseren Stromnetzen, Autos und Verkehrssystemen, unseren Fabriken, Kliniken und Häusern zu schützen“, warnt die Brüsseler Behörde in ihrer neuen Cybersicherheitsstrategie, die in Kürze veröffentlicht werden soll. Schließlich würden in den kommenden Jahren Milliarden zusätzliche Geräte an das Internet angeschlossen, von Haushaltsgeräten bis hin zu Industrieanlagen.

Um der exponentiell wachsenden Gefahr Herr zu werden, sollen Hard- und Software künftig mehr auf Sicherheitslücken überprüft und zertifiziert werden. Die Kommission will dafür einen einheitlichen Rahmen vorgeben, nachdem in den EU-Staaten die Tests entwickelt und für den Konsumenten erkennbar mit Sicherheitslabeln gekennzeichnet werden sollen. Zudem sollen die Fördermittel für die Erforschung neuer Sicherheitstechnologien aufgestockt werden.


Daneben will die Behörde dafür sorgen, dass die bislang informelle Zusammenarbeit der nationalen IT-Sicherheitsbehörden im Angriffsfall auf einen festen Boden gestellt wird. Dazu wird die Kommission eine „Blaupause“ für die Abläufe vorlegen, entlang derer die Zuständigen in den Mitgliedsstaaten und den EU-Agenturen auf Cyberattacken reagieren sollen. Die Europäische Agentur für Netz- und Informationssicherheit (Enisa) soll dafür mehr operative Kompetenzen bekommen und besser ausgestattet werden als bisher.

Die kleine EU-Agentur mit Sitz in Griechenland verfügt derzeit nur über rund 50 IT-Sicherheitsexperten und beschränkt sich darauf, die Bedrohungslage zu analysieren und grundsätzliche Handlungsempfehlungen zu geben. Experten bezweifeln daher, dass sie schnell eine tragende Rolle im Netz der nationalen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik(BSI) einnehmen kann: „Die europäischen Behörden verfügen hier über kein überragendes Wissen“, sagt Martin Schallbruch, langjähriger IT-Direktor im Bundesinnenministerium und heute Vize-Direktor am Digital Society Institute der privaten Hochschule ESMT.

Eine stärkere operative Rolle für Enisa sei daher nur sinnvoll, wenn es sich um einen großangelegten Angriff handele, dessen Folgen in etlichen Mitgliedsstaaten zu spüren seien. „In anderen Fällen wäre eine Koordination durch Brüssel nur hinderlich“, so Schallbruch.


Nur ein „gemeinsamer Rahmen“


Das System der Sicherheitszertifizierung für Geräte und Programme auszubauen, sei hingegen durchaus sinnvoll. Entscheidend sei aber die konkrete Ausgestaltung: „Man kann nicht einfach abstrakt Anforderungen definieren, die gleichermaßen für Fitnessarmbänder und vernetzte Industrieanlagen gelten“, sagt er. Die existierenden Testverfahren seien zu aufwendig und zu teuer für den Konsumgütermarkt, deshalb nutzten etwa die Hersteller von Smart-TV-Geräten sie kaum.

Die Kommission will es weitgehend den Mitgliedsstaaten überlassen, die konkreten Anforderungen an die Geräte festzulegen und nur einen „gemeinsamen Rahmen“ für die Prüfverfahren festlegen, wie es im Entwurf der Strategie heißt. Die IT-Unternehmen sollen weiter nicht verpflichtet werden, ihre Produkte testen und zertifizieren zu lassen. Die Hersteller, häufig US-amerikanische und asiatische Firmen, wehrten sich heftig gegen verbindliche Vorgaben, heißt es in Brüssel.


Kritikern gehen die Brüsseler Vorschläge aber nicht weit genug: „Die Kommission drückt sich vor der Auseinandersetzung mit der Industrie“, sagt der Grünen-Innenpolitiker im Europaparlament, Jan Philipp Albrecht. „Sie sollte gegenüber den Herstellern von Hard- und Software verbindliche Standards durchsetzen anstatt es auf die Verbraucher abzuwälzen, die Sicherheit der Produkte zu beurteilen.“

Albrecht fordert auch, die Haftung der Hersteller für ihre Produkte zu verschärfen. „Es ist nicht einzusehen, dass die Autohersteller für selbstverschuldete Sicherheitsmängel haften, nicht aber die IT-Unternehmen“, sagt er. Die Kommission aber hält sich bei dem Thema noch zurück: In Gesprächen mit allen Beteiligten solle bis 2018 geprüft werden, ob „die Haftungsregeln ergänzt werden sollten“, heißt es im Strategieentwurf zurückhaltend.

Auch Experte Schallbruch gehen die Pläne der Kommission nicht weit genug: „Ich kann in den Vorschlägen keinen großen Wurf erkennen“. Die Kommission sollte lieber dafür sorgen, dass Sicherheitsstandards für die Industrie durchgesetzt werden.

KONTEXT

Fünf Einfallstore für Hacker

"Todsichere Tipps"

Digitale Kompetenz ist im Mittelstand weiterhin ungleich verteilt. Der IT-Sicherheitsdienstleister Nexus hat fünf "todsichere Tipps" zusammengestellt für alle, die Opfer eines Hackerangriffs werden möchten.

Passwort mit weniger als acht Zeichen

Das zu knacken, dauert in der Regel nicht einmal eine Minute. Längere Passwörter sind zwar sicherer, empfehlenswert ist dennoch die Kombination mit einer weiteren Authentifizierungsmethode - beispielsweise einer Smartcard. Eine solche Zwei-Faktor-Authentifizierung bietet einen zuverlässigen Schutz und hilft, Sicherheitsrisiken zu vermeiden.

Verschiedene Schlüssel

Wer schon einmal seine Geldbörse oder seine Schlüssel verloren hat, weiß: Je mehr Schlüssel und je mehr Karten man besitzt, desto mehr Schlösser sind im Fall eines Verlusts oder Diebstahls auszutauschen und desto mehr Karten zu sperren. Wer sämtliche Zugänge auf einer geschützten Karte speichert, hat nicht nur eine bessere Übersicht über seine Datenträger, sondern muss sich bei Verlust auch nur noch um die Sperrung einer einzigen Karte kümmern.

Das passiert nur den anderen

Kein Unternehmen ist zu klein oder zu unwichtig für einen Cyberangriff. Zwar setzen viele IT-Chefs als gefährlich eingestufte Webseiten und Programme auf eine Blacklist - sicherer aber ist es, die als ungefährlich geltenden Programme über Whitelists zu erlauben und alle anderen Programme grundsätzlich zu blockieren. Whitelisting eignet sich besonders für vernetzte Geräte, die nur zu bestimmten Zwecken, aber von vielen verschiedenen Personen genutzt werden und selten Updates benötigen, etwa Drucker.

Unbekannte Links

Wer sie anklickt, lädt Erpresser geradezu ein: Die Wahrscheinlichkeit, Opfer dieser Form von Schadsoftware zu werden, hat sich 2016 noch einmal deutlich erhöht. Entdeckt wird eine Infektion mit Ransomware jedoch meist erst, nachdem das Programm die Daten des Nutzers verschlüsselt und unzugänglich gemacht hat. Um wieder auf die Daten zugreifen zu können, muss der Nutzer ein Lösegeld zahlen.

Updates alle drei Jahre

Eine Site, die nicht aktualisiert wird, ist ein Einfallstor für Datendiebe. Wer die Wartung und das Aktualisieren von Plug-Ins ignoriert und sich auf Instandhaltungsarbeiten alle drei Jahre verlässt, macht sich selbst zur Zielscheibe für alle, die Geheimnisse stehlen wollen. Also bitte keine Website online stellen und sie dann sich selbst überlassen.

Quelle: Creditreform 02 2017

Creditreform 02/2017.

Creditreform 02/2017.