Podium Strategiewerkstatt Cyberabwehr
© Wegweiser GmbH Media & Conferences / Simone M. Neumann

Cyber-Abwehr in Deutschland

„Security is not making money, just spends it“

Zahlreiche Cyber-Vorfälle aufgrund von mangelhafter Cyber-Sicherheit machen die Wichtigkeit von Prävention und Reaktion auf Cyber-Angriffe mehr als deutlich. Da die Schwachstellen von Systemen und Prozessen nicht allgemein bekannt sind, ist dies ein permanentes Rennen um die Vorreiterrolle rund um mögliche Angriffsvektoren. Eine rein reaktive Rolle ist dabei jedoch nicht zielführend, vielmehr müssen Strategien und Konzepte zur aktiven Cyberabwehr institutionalisiert werden.

In der letzten Legislaturperiode wurden mehr Maßnahmen zur Cybersicherheit als je zuvor getroffen: das IT-Sicherheitsgesetz (2015), IT-Sicherheitsmindeststandards, der Einsatz mobiler Einsatz-Teams des BSI bei IT-Angriffen oder die Cybersicherheits-Strategie (2016). Aktuell arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Einführung eines Gütesiegels für IoT-Geräte.

Klaus Keus vom Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert einen kooperativen Ansatz in Sachen Cyber-Sicherheit.
© Wegweiser Media & Conferences GmbH / Simone M. Neumann
»

Einfache Passwörter reichen nicht mehr aus.

«
Klaus Keus, Referatsleiter im BSI

Aus Bequemlichkeit immer wieder dasselbe Passwort

Die Digitalisierung eröffnet immer mehr Angriffsziele, die Angriffe nehmen in Ihrer Quantität sowie Qualität immer mehr Fahrt auf.

Klaus Keus, Referatsleiter „Cyber-Sicherheit" im BSI, fordert einen kooperativen Ansatz zum Schutz vor Cybersicherheitsangriffen. Die kritische Infrastruktur muss zwar weiterhin mit Regularien ausgebessert werden, nur diese werden allerdings nicht ausreichen, um Sicherheit im Cyber-Raum zu gewährleisten. „Das Verhalten der Nutzer muss sich ändern!“ Oft seien die Menschen die größte Sicherheitslücke. Aus Bequemlichkeit nutze man das gleiche Passwort für verschiedene Kanäle oder vertraue auf zu einfache Kombinationen. „Einfache Passwörter reichen nicht mehr aus.“ Wo besondere Sicherheit notwendig ist, sollte deshalb nur noch mit zweifacher Registrierung gehandhabt werden, wie etwa das Einloggen über ein weiteres Endgerät. „Wir dürfen den Nutzer nicht von jeglicher Verantwortung freisprechen!“ Die Gefahr im Cyber-Raum solle nicht nur durch Sicherheitsvorkehrungen gebannt, sondern auch potenzielle Gefahren vom Nutzer erkannt werden.

"Ganzen Satz verwenden und noch einen Rechtschreibfehler einbauen"
Passwort-Policies; IT-Sicherheit

"Ganzen Satz verwenden und noch einen Rechtschreibfehler einbauen"

IT-Sicherheitsexperte Kalinna: „Passwort-Policies“ überdenken / Praxisnahe Tipps zur IT-Sicherheit / Interview

»

Wir dürfen den Nutzer nicht von jeglicher Verantwortung freisprechen!

«
Klaus Keus

„Technology, people and processes“

Alon Tzachi von PricewaterhouseCoopers International (PwC) sieht die Grundlage für Cyber-Attacken in drei Komponenten: „Technology, people and processes.“

Um ein gutes Abwehrsystem zu errichten, bräuchte dieses eine starke Verteidigung und eine hohe Robustheit sowie eine gewisse Elastizität des Systems.

»

Security is not making money, just spends it.

«
Alon Tzachi

Vor allem bräuchte es hier eine stabile Organisation und eine reaktives System. Eine Sicherheitslücke muss nach einer Attacke geschlossen werden, um wiederkehrende Angriffe gleicher Art zu verhindern.

Die größten Herausforderungen sieht Tzachi in der Mentalität: Systeme seien darauf ausgelegt, schnell und effizient, nicht aber sicher zu sein. Durch regelmäßig notwendige Updates und Patches entstehen immer neue Sicherheitslücken. Malware würde immer gefährlicher. Security sei außerdem kein wirtschaftliches Modell: „Security is not making money, just spends it.“

Wissensmanagement in der Cyber-Abwehr

Um im Bereich Cyber-Sicherheit voranzuschreiten, ist Wissensmanagement ein großes Thema, so Klaus Keus vom BSI. Die Länder sind hinsichtlich der IT-Sicherheit unterschiedlich ausgestattet, ein Dialog zwischen Bund und Ländern daher unverzichtbar. Die verfügbaren Daten und Informationen müssten im richtigen Anwendungskontext betrachtet und durch Experten analysiert und verwertet werden.

Es gibt zwar bereits einige Information-Sharing-Methoden für Cyber-Sicherheit wie ACS, Up-Kritis, Lageberichte, Bürger-Cert, Nationales IT-Lagezentrum, Cyber-AZ  und Mobile Incendent Response Teams, jedoch stehe jede Behörde vor individuellen Herausforderungen.

Aufgrund von Bot-Netzwerken oder IP-Hopping sind Cyber-Angriffe nur selten Tätern zuzuordnen.
© PORTRAIT IMAGES ASIA BY NONWARIT / Shutterstock.com

Im Zusammenhang mit der Informationsbereitstellung wären große Probleme vor allem die Vollständigkeit der Informationen, die zeitnahe Bereitstellung sowie die Attribution der Angriffe. Aufgrund von Bot-Netzwerken oder IP-Hopping seien Cyber-Angriffe nur selten Tätern zuzuordnen.

Fehlende Informationen und mangelnde Personalausstattung hindern die Behörden daran, aus Angriffen zu lernen und so erneute Angriffe präventiv abzuwehren. Keus fordert daher eine erhöhte Bereitschaft zum Informationsaustausch und einer Vernetzung der Kompetenzen zu Cyber Defense Centern oder Center of Cyber Excellence. MIRT-Teams sollen gemeinsam besetzt und genutzt werden. Zur frühzeitigen Erkennung von Angriffen solle ein Threat-Intelligence-Center eingerichtet werden. Die rechtliche Grundlage dafür müsse ebenso geschaffen werden wie die entsprechende Förderung und Kompetenz für Cyber-Abwehr.

»

Je komplizierter Sie es machen, umso mehr Möglichkeiten wird der Mensch finden, Ihre Maßnahmen zu umgehen.

«
Christian Leinert

Prävention von Cyber-Angriffen

Dr. Markus Dürig aus dem Bundesministerium des Innern, für Bau und Heimat sieht zur besseren Prävention eine Sensibilisierung der Nutzer eine Art Awareness-Programm vor, bei dem auf Schwachstellen und mögliche Fehler hingewiesen wird. Außerdem müssten Schwächen kontinuierlich erkannt und kommuniziert, also Maßnahmen zum Präventionsmanagement ergriffen werden. Christian Leinert von IT Baden-Württemberg (BITBW) weist darauf hin, dass die Sicherheitsmaßnahmen dabei allerdings so simpel wie möglich gehalten werden sollten: „Je komplizierter Sie es machen, umso mehr Möglichkeiten wird der Mensch finden, Ihre Maßnahmen zu umgehen.“

Sven Egyedy vom Auswärtigen Amt will Sicherheit im staatlichen Bereich nicht an den Nutzer binden.
© Wegweiser Media & Conferences GmbH / Simone M. Neumann

Bei sensiblen Daten - Mitarbeiter im Zweifel entmündigen

Man müsse den Anspruch der IT in staatlich und privat trennen, so Sven Egyedy vom Auswärtigen Amt. Im Rahmen der behördlichen IT, wo mit sensiblen Daten hantiert würde, könnte man sich nicht auf das Sicherheitsverständnis seiner Mitarbeiter verlassen und sollte diese in diesem Zusammenhang entmündigen. Die Wissensverteilung der Bevölkerung wäre hier zu weit gespalten, um sich bei der Sicherheit darauf verlassen zu müssen.

Kontinuierlich dazu lernen

Nicht jeder Angriff könnte abgewendet werden, so Sicherheitsexperte Alon Tzachi. Wichtig wäre es, da, wo Präventionswerkzeuge versagen, „Sicherbarkeitstools“ einzusetzen.

Sprich: die Attacken sichtbar machen, sehen wo sie passieren und so Sicherheitslücken im Nachgang schließen. Sicherheit sei als fortlaufender Prozess zu verstehen und setze kontinuierliches Lernen voraus, so Tzachi.