Robotergesetze

Cyber Insecurity

Im April 2019 kam heraus, dass der Leverkusener Pharma-Konzern Bayer von einer womöglich chinesischen Hackergruppe mit der sogenannten „Winnti“-Schadsoftware angegriffen wurde. Die Angreifer gingen hoch professionell vor, hieß es in einer Pressemitteilung. Sie hätten Systeme an der Schnittstelle vom Intranet zum Internet infiziert und von dort aus versucht, tiefer einzudringen. Informationen konnte Winnti offenbar noch nicht stehlen. Aber beruhigen sollte einen das nicht: Winnti ist bei mindestens drei weiteren deutschen Unternehmen aktiv gewesen sei. Die Bedrohungslage im Cyber-Raum ist seit Jahren ernst – und die europäische Politik setzt dem eine kleine Agentur in Malta entgegen, die derzeit eine freiwilliges Zertifikat als großen Erfolg feiert.

In Brüssel feierte die European Network and Information Security Agency (ENISA) ihr 15-jähriges Jubiläum. Die Agentur wurde gegründet, um die Netz- und Informationssicherheit (NIS) innerhalb der Europäischen Union zu wahren. Ihr Sitz ist Malta, ihr Budget bislang relativ klein. Die Stimmung auf der Feier war dennoch optimistisch – Anfang des Jahres gelang der ENISA nach eigenem Ermessen ein großer Erfolg: Die EU-Kommission verabschiedete den von ihr vorgeschlagenen Cyber Security Act. Darin verpflichtet sich die EU, ein Zertifizierungsverfahren für digitale Produkte, sei es Smart Home, Industrielösungen oder kritische Infrastrukturen, zu realisieren – für Unternehmen ist es allerdings freiwillig.

Ein gemeinsamer europäischer Markt bräuchte eine gemeinsame Cyberpolitik. Die ENISA sieht sich dabei als zentrales Kompetenzzentrum Cyber Security, das die Zertifizierung regelt und den Informationsaustausch zwischen den Mitgliedstaaten sowie die Forschung vorantreibt. Cyber Security sei in der Politik angekommen, hieß es mehrfach in den Reden in Brüssel. Die Bedrohung sei ernst und jetzt werde sie ernst genommen. Aber genau das bezweifeln Experten. Sie fragen sich, ob eine EU-Agentur aufgrund der komplexen Struktur der EU überhaupt dazu fähig ist, eine zentrale Rolle beim Schutz vor Cyber-Angriffen zu spielen.

Die Zertifizierung ist ein Anfang. „Wir wollen erreichen, dass der Endverbraucher besser einschätzen kann, ob ein Produkt sicherer ist als andere Produkte,“ sagt ENISA-Direktor Udo Helmbrecht. „Das Zertifikat ist vergleichbar mit den Energie-Labeln bei Kühlschränken oder den Zertifikaten für Kinderautositze – die Hersteller verpflichten sich bei Teilnahme, bestimmte Standards einzuhalten.“ Helmbrecht hofft, dass sich damit Marktvorteile für EU-Unternehmen ergeben:„Wenn Standards auf den Markt kommen, werden Firmen investieren. Der Markt honoriert Sicherheit.“

Ein sicherer Markt ist das vorrangige Ziel der ENISA, und genau da liegt gleichzeitig ein Problem. Die ENISA ist keine Behörde der Verteidigung. „Der Artikel, auf dem die Agentur begründet ist, steht in Zusammenhang mit wirtschaftlichem Wachstum in der EU, und dies setzt auch einen sicheren digitalen Raum voraus“, sagt Helmbrecht. „Deshalb beschäftigen wir uns mit Risiken, die sich für Unternehmen und Konsumenten durch solche Technologien ergeben. Geheimdienst- und Militärthemen wie zum Beispiel Spionage sind nicht Teil unseres Mandats. Lediglich Industriespionage ist eine Grauzone.“ Bei letzterem gehe es um Prävention.

Die Frage, wer für was zuständig ist, ist das große Dilemma der EU. Laut der sogenannten NIS-Direktive (Network Information Systems) von 2016 müssen die Länder Strukturen zur Cyber Security aufbauen und an Übungen teilnehmen. Aber wie sie Ersteres machen, ist relativ frei: Das BSI ist im Geschäftsbereich des Innenministerium angesiedelt. Griechenland hat ein Ministerium für digitale Politik, Telekommunikation und Medien. In Litauen ist Cyber-Security im Verteidigungsministerium verhaftet. Entsprechend unterschiedlich sind die Interessenschwerpunkte der einzelnen Mitgliedstaaten, wie Helmbrecht bestätigt. Deutschland, zum Beispiel, ist derzeit auf kritische Infrastrukturen fixiert – ein Thema des Innenministeriums.

Dieser Flickenteppich spiegelt sich auf EU-Ebene: Neben der ENISA gibt es zum Beispiel das Computer Emergency Response Team (CERT-EU), das bei Angriffen auf die IT in EU-Einrichtungen reagiert. Daas European Cybercrime Centre (EC3) bei Europol ist aktiv, wenn entsprechende Anfragen von dem Europol-Cyber Intelligenzteam kommen, das sich wiederum aus dem National Network of Computer Security Incident Response Teams (CSIRTs) zusammen setzt – den nationalen Pendants zum CERT-EU. Die European Defence Agency (EDA) ist für die Cyber Security beim Militär zuständig, hat aber ähnlich wie die ENISA keine eigenen Einsatzkräfte, sondern ist eher ein Kompetenzzentrum. Die European Agency for the operational management of large-scale IT systems (eu-LISA) verwaltet und schützt große Informationssysteme wie für Visa (VIS) und Fingerabdrücke (EURODAC). Die European Aviation Safety Agency (EASA) beschäftigt sich mit der Cyber Security in der Luftfahrt – ähnliche Einrichtungen gibt es für Schienen- und Schiffsverkehr. Neu hinzu kommen ein Cybersecurity Industrial, Technology and Research Centre sowie ein Cybersecurity Competence Network – beide könnten Aufgaben der ENISA übernehmen, wenn die mit der Zertifizierung ausgelastet ist.

Folge der Aufteilung ist eine große Rechtsunsicherheit, sagt Ursula Pachl, stellvertretende Generaldirektorin der European Consumer Organisation, in der unter anderem die deutsche Verbraucherzentrale Mitglied ist. Ein Beispiel für diese Unsicherheit sei der jüngste Umgang mit einer Reihe von Smartwatches für Kinder, die auf den Markt kamen. Mit diesen Uhren können Eltern mit ihrem Kind kommunizieren sowie dessen Aufenthaltsort bestimmen. Der norwegische Verbraucherrat (Forbrukerrådet) fand in den Geräten eklatante Sicherheitsmängel: Es ist relativ leicht für einen Hacker, über ein Internetportal die Kontrolle über die Uhr zu übernehmen. Er könnte das Kind verfolgen und mit ihm kommunizieren, gleichzeitig könnte er den Eltern einen falschen Standort vorgaukeln. Die Daten werden zudem unverschlüsselt übertragen und gespeichert. Die Nutzer können sie nicht einmal löschen. Ein SOS-Button, den das Kind drücken kann, falls es in Gefahr ist, funktioniert unzuverlässig. „Solche Geräte sollten in Europa nicht verkauft werden,“ sagt Pachl. Eltern hätten das Gefühl, ihre Kinder zu schützen, setzen sie aber einer erhöhten Gefahr aus. „Wir haben alle möglichen Institutionen angeschrieben – Datenschutz, Verbraucherschutz, die Kommission; es ist nichts passiert“

Vor einem Monat hat Island jedoch reagiert und eine dieser Uhren – die Enox Safe-Kid-One – vom Markt genommen und einen „Alert“ innerhalb des „Safety Gate“ heraus gegeben. Dabei handelt es sich um ein Schnellwarnsystem zum Informationsaustausch zwischen EU-Mitgliedstaaten und der Europäischen Kommission über gefährliche Non-Food-Produkte, die die Gesundheit und Sicherheit der Verbraucher gefährden. Auch in Island gab es zunächst ein Zuständigkeitsproblem, da man nicht so genau wusste ob die Einrichtung für Datenschutz oder Verbraucherschutz oder gar die Wettbewerbsbehörde zuständig ist. Aber Island hat ein System, bei dem im Zweifelsfall eine Behörde die Zuständigkeit übertragen bekommt, in diesem Fall die für Verbraucherschutz. In keinem anderen Land gibt es eine derartige Regelung. Island macht es also vor: Die digitale Wirtschaft der EU bräuchte einen vergleichbaren Ansatz, um bei der Vielzahl an Institutionen für klaren Zuständigkeiten zu sorgen.

Dabei ist Cyber Security inzwischen bei fast alle Produkte ein Thema. Es geht längst nicht mehr um die klassischen kritischen Infrastrukturen – auch Alltagsprodukte sind heute Angriffsflächen für Hacker. Hersteller zum Beispiel von Spielwaren kostet es nur wenige Cents, ihre Produkte mit einem Chip zu versehen – der liefert ihnen dann Daten, sei es ob das Produkt defekt ist oder wo und wie zum Einsatz kommt. Für den Hersteller sind solche Informationen kostbar. Das führt dazu, dass immer mehr Branchen digitale Produkte entwickeln, obwohl sie keine Erfahrung mit Cyber Security haben und dies mitunter nicht ernst nehmen. Auch Helmbrecht sagt, dass das Thema bei vielen Firmen offensichtlich noch nicht angekommen sei.

Auf der anderen Seite sind die Zulassungsverfahren veraltet – bei Spielzeug geht es zum Beispiel um die Frage, ob eine Verletzungsgefahr oder eine Gefahr durch Schadstoffe besteht. Der Chip wäre also ein Problem, wenn Kinder ihn verschlucken könnten. Das von der ENISA eingeführte Zertifikat würde dies zwar ändern, aber es ist freiwillig. „Eine solche Selbstregulierung ist unzureichend“, sagt Pachl. „Wir fürchten, dass das Zertifikat für Unternehmen nicht attraktiv genug ist, da Verbraucher bei Cyber Security nicht sensibilisiert sind, um es einzufordern. “

Security-Experten sind ebenfalls skeptisch. Sergej Epp, Chief Security Officer für Zentraleuropa beim amerikanischen Security-Unternehmen Palo Alto Networks, warnt vor der Zunahme an Angriffsflächen dank ständig neuer Geräte, die wir nicht einmal mehr als digital wahrnehmen sowie der gleichzeitigen Zunahme an Angriffsversuchen. „Jeder kann theoretisch einen solchen durchführen“, sagt er. „Es reicht, mit dem Internet verbunden zu sein. Sie können von jeder Ecke der Welt aus die größten Unternehmen lahmlegen. Dafür brauche Sie weder Geld noch ausgefeilte Geräte. Sie müssen nur wissen wie es geht.“ Heutzutage könnte man sich über das Internet einen entsprechenden Bildungsstand aneignen.

Bis ein Angriff entdeckt wird, vergehen zudem meist Monate, manchmal Jahre. Auch Bayer gab bekannt, es lasse sich nicht rekonstruieren, wie lange die Hacker im Netz des Unternehmens waren. „Das liegt oft daran, dass die Experten in den Unternehmen nicht die Möglichkeit haben, genug Transparenz zu schaffen,“ sagt Epp. Regelungen wie das Bundesdatenschutzgesetz (BDSG) würden die Risiken, denen Unternehmen ausgesetzt sind, zu wenig berücksichtigen. Es müsse Ausnahmefälle bei einem Angriffsverdacht geben – um die Angriffsstrategie zu verstehen, müssten Security-Experten alle Daten analysieren, die auf den Unternehmensservern liegen – auch solche, die sonst zurecht geschützt sind.

Epp sieht die EU nicht gut aufgestellt. Das hat zum Teil geopolitische Ursachen. Die Länder waren weniger stark unter Beschuss wie etwa die Vereinigten Staaten. Diese hätten schon vor Jahren Milliarden in Cyber Security investiert, sowohl was die Wirtschaft als auch was das Militär angeht. In der EU investieren Politik und Unternehmen zu wenig. Letztere würden noch immer eher reagieren statt auf präventive Maßnahmen zu setzen. Ein Zertifikat wäre ein Schritt nach vorne. „Die Regulatoren dürfen aber das Thema Cyber Security nicht wie eine Compliance Blackbox behandeln und mit einer Check-Liste prüfen, welche Features ein Produkt hat und welche nicht“, sagt Epp. „Ähnlich wie bei einem Auto-Crashtest müssten die Hersteller nachweisen, dass ihr Produkt im Einsatz innerhalb des Gesamtsystems sicher ist – in einer Simulation, in der es realen Angriffen ausgesetzt ist.“ Vorbildlich sei die Finanzindustrie, die ein Framework for Threat Intelligence-based Ethical Reed Teaming, kurz TIBER-EU, geschaffen habe – einen gemeinsamen Rahmen, um zum Beispiel in sogenannten Cyber Ranges Systeme zu testen und Resilienz aufzubauen.

In Finnland hat die JAMK University of Applied Sciences ein derartiges Trainingszentrum, JYVSECTEC, aufgebaut – mit einer Cyber Range, der eigentlichen Trainingsplattform. In ihr können sich Banken, Regierungsorganisationen und Unternehmen unter realen Bedingungen mit Attacken auseinander setzen. Es wird zum Beispiel User Traffic simuliert. Die finnischen Entwickler stellen ein „Red Team“ zusammen – Security Experten, die in die Rolle von Hackern schlüpfen, also Kriminelle, Hacktivisten oder Hacker von Regierungen.

Das Angriffsteam arbeitet mit Tools und Methoden, die im Umlauf sind: DDOS Angriffe, Botnets, RansomWare, Phishing, Malware, trojanische Pferde oder „Watering Holes“. Bei letzterer Methode beobachten Hacker, welche unsicheren Webseiten Mitarbeiter eines Unternehmens häufig besuchen, dann infiltrieren Sie die Seite und warten auf einen unvorsichtigen Mitarbeiter. Er ist dann die Eintrittskarte zum eigentlichen Ziel. „Es ist wichtig, nicht nur auf technologischer Seite vorbereitet zu sein“, sagt Jani Päijänen, Projektleiter von JYVSECTEC. „Das Management sollte beim Training ebenso involviert sein wie Produktion, Vertriebs, PR- oder Personalabteilung – je nach Unternehmen.“ Die Forscher kooperieren mit F-Secure, einem finnischen Security-Unternehmen, um möglichst alle aktuellen Bedrohungen im Blick zu haben. Päijänen sagt: „Es ist sehr aufwendig, die Cyber Range aktuell zu halten, da immer wieder neue Malware und neue Strategien auftauchen.“ Aber nur so seien die Teilnehmer vorbereitet.

Was typische Schwachstellen sind, möchte Päijänen nicht sagen. Aber allgemein sei die Kommunikation ein Problem – zum Beispiel müssen die Mitarbeiter im Bereich Technik, Management und PR besser zusammen arbeiten, zum Beispiel mittels Tools für eine Echtzeitberichterstattung – so das bei einem Angriff alle jederzeit auf dem gleichen Stand sind und gemeinsame Strategien entwickeln können, wie sie mit der Öffentlichkeit oder den Geschäftspartnern die Situation kommunizieren. Die Kommunikation während eines Angriffs ist ein komplexer Prozess.

Auch Hacker haben ein Limit
Kleinere Unternehmen sind bei der Security auf externe Firmen angewiesen, aber sie profitieren ebenfalls von solchen Übungen – auch sie müssen die Angriff-Systematik und die Folgen verstehen. Letzten Endes hätten Hacker ein Limit an Ressourcen, und sie müssten sich immer die Frage stellen, ob ein Angriff die Investition Wert sei. „Wenn das Ziel gut vorbereitet ist, ist der Ressourceneinsatz größer,“ sagt Päijänen.

Die Expertise ist in Europa vorhanden. Auch der Weg, den die ENISA vorgibt, ist grundsätzlich richtig, aber er ist nicht konsequent – Europa braucht nicht nur ein gutes Umfeld für die Forschung, sondern auch IT-Security-Firmen – also vor allem mehr Investitionen. Zudem braucht es bindende Sicherheitsstandards, klare Zuständigkeiten in den Ländern sowie ein EU-weites Kompetenzzentrum mit einem entsprechenden Budget. Voraussetzung für all dies ist ein größeres Bewusstsein in der Politik, in den Unternehmen und nicht zuletzt bei den Verbrauchern. Nur gerade das – so befürchten viele Experten – komme womöglich erst, wenn bereits die erste Katastrophe eingetroffen ist.

Dieser Beitrag erschien in veränderter Form in der „t3n“.

Share this post