Cyber-Sicherheit: Die Krux mit den Schwachstellen

0
1923
Hannes Steiner (Trend Micro) sprach über Hindernisse beim schnellen Schließen von IT-Schwachstellen. (Foto: BS/Stiebel)

“Jede Schadsoftware, sei es Virus oder Ransomware, nutzt letztlich eine Schwachstelle in einer Software aus”, stellt Hannes Steiner, Senior Director Sales Germany bei Trend Micro klar. Das Problem: “Einen alle Systeme einer Organisation umfassenden effizienten Patch-Prozess, durch den alle Lücken rechtzeitig geschlossen würden, gibt es nicht.”

Das liege daran, dass schon wenige Stunden nach der Veröffentlichung eines neuen Patches die erste Schadsoftware auftaucht, die die entsprechende Lücke ausnutzt. “So schnell können Sie nicht patchen”, sagt Steiner auf einem Parlamentarischen Abend des Behörden Spiegel in Berlin. Viele Systeme seien von Hause aus nicht integrierbar. Bei kritischen Anwendungen und Verfahren bedeute jeder Update-Vorgang zudem eine Betriebsunterbrechung. Dazu käme in komplexen IT-Architekturen die Gefahr, dass dabei etwas schiefgeht. Steiner: “Viele IT-Verantwortliche nehmen lieber die vorübergehende Angreifbarkeit in Kauf, als Ausfälle durch Probleme beim ständigen Patchen zu riskieren.”

Verstärkt würde die Gefahr, wenn entdeckte Schwachstellen nicht schnellstmöglich den Herstellern gemeldet würden, ergänzt Manuel Höferlin, Mitglied des Deutschen Bundestages (FDP). Dafür gebe es etablierte und gut funktionierende Verfahren. Kritisch sieht Höferlin, dass Sicherheitsbehörden sich die Option offenhalten, Schwachstellen für Ermittlungszwecke zurückzuhalten. “Wir brauchen unbedingt eine Meldepflicht für alle staatlichen Stellen”, fordert er. Eine Güterabwägung würde hier unweigerlich zu Lasten der Sicherheit gehen, “denn Lücken werden auch von den bösen Buben und Mädels genutzt und können zu enormen Schäden führen”, so der Abgeordnete. Etwaige Ermittlungserfolge durch Online-Durchsuchungen oder ähnliche Maßnahmen stünden in keinem Verhältnis zu den Risiken.

Um die Cyber-Sicherheit im Ganzen voranzubringen, müsse mehr grenzübergreifend gedacht werden. So sollten internationale Mindeststandards für sichere IT-Produkte und deren Einsatz in Organisationen formuliert werden. “Wo immer es möglich ist, sollte verschlüsselt werden”, so Höferlin, “warum sollte es anders sein?”

Aktiv werden dürfen

Mit Schwachstellenmanagement, Verschlüsselung und einer robust aufgestellten IT lässt sich das Gros der cyber-kriminellen Bedrohungen in den Griff kriegen. Gegen groß angelegte Kampagnen und staatlich unterstützte Spionage oder Sabotage reicht das jedoch nicht. Die Bundesregierung denkt daher schon lange über Befugnisse zur aktiven Cyber-Abwehr nach, wenn zum Beispiel Angriffe auf Kritische Infrastrukturen die Versorgung der Bevölkerung bedrohen. Dabei ginge es nicht um Vergeltungsschläge, sondern nur um Gefahrenabwehr, betonte der Leiter der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium, Andreas Könen. Doch die Gefahrenabwehr ist Ländersache und ohne eine Befugnis sind dem Bund die Hände gebunden. “Wir müssen dringend diskutieren, welche Stelle Kompetenzen vorhalten soll und wie die Umsetzung von Maßnahmen rechtlich zu gestalten ist”, so Könen. Dabei gehe es nicht immer gleich um das Ausschalten eines Systems, von dem ein Angriff ausgeht. Schon das Stoppen eines Schadprogramms auf einem fremden Computer ist derzeit de facto nicht möglich. So konnte sich das Bundeskriminalamt vor wenigen Jahren nicht an einer international orchestrierten Aktion zur Abschaltung eines großen Botnetzes beteiligen.

Letztlich sollten aktive Maßnahmen die ultima ratio im Krisenfall bleiben, am wichtigsten seien Prävention und passive Abwehr, stellte der Abteilungsleiter fest. Maßgeblich für den Erfolg ist die frühzeitige Erkennung von neuartigen Methoden oder großangelegten Angriffskampagnen. Dafür spielt das Nationale Cyber-Abwehrzentrum (NCAZ) unter Federführung des Bundesamtes für Sicherheit in der Informationstechnik eine entscheidende Rolle.

Stellte das neue IT-Lagezentrum des Auswärtigen Amtes vor: CTO Dr. Sven Egyedy. (Foto: BS/Stiebel)

AA weiht IT-Lagezentrum ein

Im NCAZ soll sich demnächst auch das Auswärtige Amt (AA) beteiligen. Dieses hat im Laufe nur eines Jahres ein neues IT-Lagezentrum für die Auslands-IT eingerichtet. Noch im Dezember soll die Operationsfähigkeit erreicht werden, berichtete Dr. Sven Egyedy, Chief Technology Officer im AA. Das Lagezentrum bestünde aus einer 24/7-Leitwarte, einem CERT, sowie einem Security Operations Center (SOC). Darin seien auch die Service-Hubs in New York und Singapur eingebunden. Egyedy: “Die Angreifer kommen aus ganz verschiedenen Regionen der Erde und arbeiten teils im Schichtbetrieb. Mit der Verteilung des Lagezentrumsbetriebs haben wir stets frisch erholtes Personal im Einsatz. Das funktioniert gut.” Nicht bewährt hat sich das Redundanzmodell jedoch offenbar in Bezug auf die Datenhaltung: “Aus gegebenem Anlass verfolgen wir nicht mehr die Strategie, Daten an verschiedenen Standorten weltweit zu lagern”, so Egyedy.

Zusätzliche Sicherheit schafft das AA im IT-Betrieb dadurch, dass die Inlands- und die Auslands-IT unabhängig voneinander Betrieben werden können. Bei erheblichen Vorfällen können die Netze getrennt und so die Ausweitung von Schäden eingedämmt werden. Dies sei bereits einmal durchgeführt worden. “Im Schadensfall kommt es auf Minuten an. Dank unserer etablierten Standardoperationsprozeduren konnten wir den Vorfall schnell bearbeiten”, erinnert sich der CTO.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here