Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

06.05.2015
von: Matthias Niklowitz

"Hundertprozentige Abwehr gibt es nicht"

Hannes Lubich, Professor für Informatik an der FHNW, über IT-Sicherheitsmassnahmen, die Grenzen zwischen Spionage und statistischer Datensammlung und den Verkaufswert gestohlener Bankdaten. 

Welches sind gegenwärtig die grössten IT-Sicherheitsprobleme? 

Hannes Lubich: Einerseits gibt es vermehrt Angriffe auf Systeme, die finanzielle Werte halten, wie das Online-Banking. I /lese erfolgen vor allem auf der Kundenseite, aber auch auf Finanzabteilungen von Firmen, denen etwa gefälschte Bankbeziehungen für Lieferanten oder falsche Zahlungsaufforderungen zugesandt werden. Andererseits ist ein Anstieg von Angriffen auf infrastrukturelle Systeme und deren Schnittstellen zu beobachten. Weiterhin werden auch mobile Geräte verstärkt angegriffen, um personenbezogene Daten insbesondere für die Authentisierung in anderen Systemen zu erhalten. 

Der grosse Vorfall bei der US-Bank JP Morgan vom letzten Jahr hat gezeigt, wie versiert heute Attacken stattfinden. Wie lässt sich das abwehren? 
Ein Sicherheits-Dispositiv umfasst immer mehrere Stufen. Einige Angriffsformen müssen durch Prävention verhindert, andere automatisch erkannt und abgewehrt werden. Die verbleibenden Angriffe müssen bei Eintreten rasch erkannt und bekämpft bzw. in ihrem Schadenausmass begrenzt werden. Schliesslich muss das Dispositiv auch einen klar definierten Weg aus der Schadenbekämpfung mit allenfalls eingeschränktem Betrieb zurück zum Normalbetrieb enthalten und die präventiven und reaktiven Sicherheitsmassnahmen müssen regelmässig sowie nach jedem signifikanten Vorfall aktualisiert und gegebenenfalls angepasst werden. 

Ist so hundertprozentige Sicherheit möglich? 
Eine hundertprozentige Abwehr ist nicht möglich, insbesondere wenn die Angreifer professionell vorgehen und über erhebliche Ressourcen verfügen. Zudem ist zu berücksichtigen, dass viele Angriffe eine Kombination aus technischen und nicht-technischen Vorgehensweisen wie »Social Engineering» nutzen, sodass auch das Abwehr- und Erkennungsdispositiv entsprechend breit und aufwändig gestaltet sein muss.

Wie gross ist das Problem der staatlich geförderten (Industrie-)Spionage?
Einerseits besteht das Problem darin, dass hier von erheblichen Ressourcen für die Planung und Durchführung flächendeckender und auch spezifisch auf das Ziel zugeschnittener Attacken ausgegangen werden muss. Andererseits bestehen Unsicherheiten bezüglich dem Zweck und der Breite der Datensammlung bzw. der Korrelation dieser Daten, insbesondere wenn dabei die Grenze zwischen Spionage zur Verhinderung von Schäden für den Staat und der Förderung des eigenen Wirtschaftsstandortes nicht mehr klar definiert ist.

Wie ist die Grenze zu ziehen? 
Der Staat mag in bestimmten Fällen das Recht haben, Daten über seine Bürger oder Unternehmen zu sammeln und auszuwerten, aber dabei darf die Zweckbindung dieser Daten nicht beliebig erweitert oder ganz ignoriert werden. Es muss jedoch im Moment davon ausgegangen werden, dass im Bereich der staatlichen Aufklärung ein eigentliches Auf- und Wettrüsten mit erheblichen finanziellen und personellen Mitteln stattfindet, der Zweck der Sammlung und Auswertung jedoch nicht mehr nur die Verhinderung von Grosskriminalität oder Terrorismus ist.

Welches sind Anzeichen und Indizien, dass fremde Leute im eigenen Netz unterwegs sind?
Es gibt hier nur wenige verlässliche Indikatoren, da professionell agierende Angreifer auch in der Lage sind, die allenfalls vorhandenen Überwachungsmechanismen zu täuschen oder zu umgehen. Dennoch ist die Fähigkeit, Anomalien im Betrieb der IT und der darauf ablaufenden Geschäftsprozesse zu erkennen, eine wichtige Komponente einer ausreichenden Security-Governance. Gegebenenfalls können hier fremderbrachte Auswertungs- und Überwachungsdienstleistungen eingesetzt werden, wenn die Unternehmung die entsprechenden Aufwände nicht selbst leisten kann. Zudem müssen Firmen auch auf Kollateral-Informationen achten. Also beispielsweise das Bekanntwerden von Informationen, die nur durch Indiskretionen «von innen» nach aussen gelangt sein können. Schliesslich spielen auch staatliche Einrichtungen wie Melani oder Switch-Cert eine Rolle bei der Aufdeckung von Angriffen und bei der Information der Betroffenen.

Wie sollen Finanzdienstleister mit dem Problem möglicher Backdoors in der Hardware oder der Software umgehen?
Einerseits gebietet es die Sorgfaltspflicht, ICT-Systeme und -Dienste vor Inbetriebnahme soweit wie möglich zu überprüfen und auch die Erfahrungen anderer Nutzer einzubeziehen. Andererseits müssen solche Systeme auch im Betrieb gepflegt, aktualisiert und geeignet auf Fehlverhalten und Missbrauch überwacht werden. Weiterhin müssen die Nutzer, Betreuer, Administratoren usw. entsprechend sensibilisiert und geschult werden. Schliesslich müssen finanzrelevante Systeme durch eine mehrstufige Sicherheitsarchitektur geschützt werden, die allenfalls vorhandene Schwachstellen oder Backdoors nach Möglichkeit für den Angreifer von aussen unzugänglich macht. 

Um bankinternen Datendiebstahl ist es ruhiger geworden - täuscht das? 
Viele gestohlene, zum Kauf angebotene Bankdaten umfassten alte Datenbestände, die bereits entwendet worden waren, bevor die Banken durch entsprechende Massnahmen wie «Data Leakage Prevention» das Kopieren grosser Datenmengen stark erschwerten und das Risiko für interne Angreifer dadurch stark erhöhten. Es ist nicht zu verhindern, dass Bankdaten auch weiterhin in kleinerem Mass entwendet werden, insbesondere durch Personen, die mit der Bearbeitung dieser Daten betraut sind. Jedoch sind die Datenmengen vermutlich geringer, weil die Daten nicht mehr einfach elektronisch kopiert werden, sondern abfotografiert oder fotokopiert werden müssen. Zudem bewirkt die konsequente Umsetzung der Weissgeld-Strategie des Finanzplatzes Schweiz, dass immer weniger Bankdaten einen entsprechenden Verkaufswert haben.

Hinter den Kulissen, beispielsweise im Kreditkartenabrechnungsgeschäft, werden die Value-Chains immer länger. Wie lässt sich da die Sicherheit herstellen?
Sicherheit muss immer Ende-zu-Ende betrachtet werden, auch wenn Sicherheitsmassnahmen meist nur einen Teil der Problematik abdecken. In diesem Sinne muss der Anbieter wie auch der Nutzer langer Wertschöpfungsketten durch entsprechende Überprüfungen, Audits und Rückfragen bezüglich der Ende-zu-Ende Sicherheit seiner Sorgfaltspflicht nachkommen. Zwar ist anzunehmen, dass keiner der beteiligten Anbieter ein Interesse an Sicherheitsproblemen und möglicher negativer Publizität hat - dennoch sind die regulatorischen Auflagen und Aufwände für Banken im Vergleich zu anderen Finanzintermediären nicht identisch, was durchaus zu sicherheitsrelevanten Problemen in der Ende-zu-Ende-Verarbeitungskette führen kann.

Schafft mobiles Payment wie Apple Pay neue Probleme?
Neue Systeme bringen immer auch neue Probleme mit sich - in diesem Fall verschärft durch Sicherheitsfragen bezüglich der verwendeten Endgeräte und Nutzungsmuster durch die Endanwender, wie auch durch die anzunehmende Unerfahrenheit neuer Marktteilnehmer, sofern dieses Problem nicht durch den Zukauf bereits etablierter Anbieter adressiert wird. Da die Endanwender solche Geräte aber eher als «Commodity ansehen, ist auch fraglich, ob sie bei der Nutzung, Software-Installation, Aktualisierung usw. die gleiche Sorgfalt walten lassen wie bei Bankanwendungen - auch da neue Zahlungssysteme ja im Einklang mit der sonstigen Gerätenutzung eher die Funktionalität und Einfachheit der Bedienung in den Vordergrund stellen und weniger die Sicherheit, die vom Endkunden rasch als einschränkend empfunden werden kann.

Gibt es in der Schweiz geeignete Weiterbildungsmöglichkeiten zum Thema IT-Sicherheit?
Es gibt an einigen Universitäten und Fachhochschulen in der Schweiz Weiterbildungsprogramme in Fragen der Informationssicherheit und des Datenschutzes für Fachspezialisten. Zudem ist die Informationssicherheit ein wichtiges Element der Informatik-Grundausbildung. Viele Fachhochschulen bearbeiten auch in der angewandten Forschung gemeinsam mit Industriepartnern und in Beratungsprojekten sicherheitsrelevante Fragestellungen bzw. bieten wie die Fachhochschule Nordwestschweiz mit ihrem derzeit im Aufbau befindlichen «CyberLab» eine Plattform für die gezielte Zusammenarbeit mit der Wirtschaft. 
Quelle: www.fhnw.ch
Mehr zu Prof. Dr. Hannes Lubich 


Security-Finder Schweiz: Newsletter