Lade Inhalte...

Cyber-Attacke Digitale Dilettanten

Die jüngste Cyber-Attacke auf internationale Unternehmen wirft abermals ein schlechtes Licht auf die NSA. Die Forderung nach einer Meldepflicht von entdeckten Sicherheitslücken ist unter IT-Experten aber umstritten.

Prüfung im Serverraum
Nach der jüngsten Cyber-Attacke entbrennt ein Streit um die Sicherheit von IT-Systemen. Foto: afp

Angesichts der jüngsten Cyber-Attacke auf Zehntausende Computer weltweit ist ein Streit über die richtigen Schlussfolgerungen für die IT-Sicherheit entbrannt. Der Rechtsvorstand von Microsoft Brad Smith warf den Regierungen vor, nicht ausreichend vor von ihnen entdeckten Software-Schwachstellen zu warnen. Spätestens seit den Snowden-Enthüllungen stehen die Geheimdienste in dem Verdacht, ihre Erkenntnisse für ihre eigenen Ausspäh-Zwecke zu missbrauchen. In den Augen von Smith sollte der Angriff ein Weckruf sein und sei mit einem Szenario vergleichbar, in dem Angreifer dem US-Militär einige seiner „Tomahawk“-Marschflugkörper stehlen würden.

Der IT-Sicherheitsexperte Sandro Gaycken nannte die Forderung nach einer gesetzlichen Verpflichtung zur Meldung von bekannten Sicherheitslücken im Gespräch mit dieser Zeitung allerdings als „Quatsch“. Selbst wenn es gelänge, die Geheimdienste zur Offenlegung ihrer Erkenntnisse zu bringen, ändere das nichts an der mangelnden Grundsicherheit. Im Moment gebe es nicht nur keine hundertprozentige Sicherheit, sondern vielmehr seien wir „hunderte Meilen vom 20-Prozent-Schutz entfernt“.

Matthias Wählisch, Informatik-Professor an der FU Berlin, nannte das Verhalten des US-Geheimdienstes NSA auf Anfrage hingegen  „völlig bizarr“. Die Angreifer nutzten für ihre Attacke eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnten. Diese Schwachstelle hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben, vor einigen Monaten hatten unbekannte Hacker sie aber publik gemacht.

Zur Forderung nach einer gesetzlichen Meldepflicht von Sicherheitslücken wollte sich Wählisch zwar nicht im Detail äußern. Auch er legte den Fokus aber auf einen anderen Aspekt: „Den meisten Internetnutzern fehlt das Grundverständnis für die digitale Kommunikation.“ Wählisch zufolge müsse jeder Internet-Nutzer wissen, wie der Internetverkehr optimalerweise laufen sollte. „Jeder muss wissen, ob das sein kann, was da im Browser erscheint.“ Eine vollständige Sicherheit werde es aber niemals geben, weil der Erfolg des Internets gerade auf seiner Offenheit beruhe. „Vollständige Sicherheit gibt es nur in abgeschlossenen Systemen.“

Die Ausmaße des aktuellen Falls überraschen Wählisch nicht. Seit den Snowden-Enthüllungen ist in seinen Augen klar, dass die NSA sich so verhält. Der IT-Experte kann es sich daher grundsätzlich auch vorstellen, dass sich deutsche Geheimdienste entdeckter Sicherheitslücken für Ausspäh-Zwecke bedienen.

Bei der Frage der Meldepflicht, verwies Wählisch auch auf ein ethisches Problem, in dem ein Unternehmen stecke, dass von einer Cyber-Attacke betroffen ist. „Viele Schadsoftware-Typen können auch für andere Zwecke verwendet werden.“ Das bedeutet, dass immer wenn Cyber-Attacken öffentlich gemacht würden, die Gefahr bestehe, dass sich andere Angreifer derselben Mittel bedienen könnten.

Gaycken sagte, dass die aktuelle Attacke noch nicht ausgestanden sei: „Das wird noch eine Weile weitergehen.“ Grundsätzlich rechne er auch damit, dass sich derartige Angriffe in der Zukunft häufen werden. „Ich rechne fest damit, dass es mehr solche krassen Attacken geben wird.“ Allerdings sei ein Komplettausfall meist nicht im Interesse der Angreifer. Auch Wählisch sagte, dass das vorrangige Ziel von Cyber-Kriminellen darin bestehe, unentdeckt zu bleiben. Ein öffentlichkeitswirksamer Angriff auf die öffentliche Infrastruktur stehe dem eher entgegen. Vor dem Hintergrund, dass bestimmte Unternehmen mittlerweile ein Budget besäßen, um sich vor Cyber-Angriffen zu schützen, sagte Wählisch, dass es besser wäre, das Geld in den proaktiven Schutz der IT-Systeme zu investieren.

Uneinig zeigten sich Gaycken und Wählisch in der Frage, ob man auf die Forderung der Angreifer nach einer Geldzahlung eingehen solle. Gaycken bejahte dies, zumindest für den Fall, dass man die Daten unbedingt brauche. „Man wird diese wieder bekommen, weil es dem Geschäftsmodell der Angreifer schadet, wenn man trotz Zahlung nicht mehr an die Daten herankommt.“ Wählisch hingegen hielt sich an die Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), den Angreifern kein Geld zu zahlen. „Man sollte sich nicht erpressen lassen und an Experten wenden, die versuchen, die Daten wieder zu entschlüsseln.“

Die Zeitung für Menschen mit starken Überzeugungen.

Multimedia App E-Paper
App
Online Kundenservice Abo-Shop
  • Nutzungsbasierte Onlinewerbung
  • Mediadaten
  • Wir über uns
  • Impressum