Foto: Hill
Eine Patentlösung, wie im Zeitalter von Digitalisierung und IoT noch die Cyber Security gewährleistet werden kann, hatten die Teilnehmer der Munich Cyber Security Conference 2018 (MCSC) nicht im Gepäck. Im Umfeld der Münchner Sicherheitskonferenz diskutierten Experten wie der Cybersecurity Coordinator des Weißen Hauses, der EU-Kommissar für Sicherheitsfragen, der Präsident des BSI und zahlreiche Spezialisten aus der Industrie über mögliche und notwendige Schritte, um Attacken wie WannaCry künftig abwehren oder besser zu bewältigen können.
Geradezu fatalistisch klang das Bekenntnis von Jeff Moss, Gründer und CEO der DEF CON - einer der weltweit größten Hacker-Konferenzen, "in diesen Zeiten kann sich kein Konzern sicher fühlen." Deshalb sei unter Umständen nicht die Abwehr möglicher Angreifer entscheidend, sondern die Frage, wie ein Unternehmen seinen Betrieb nach einem Angriff sicherstellen könne. "Wenn wir die Cyber-Angreifer nicht draußen halten können", so Moss, "dann sollten wir uns überlegen, wie wir den Dreck wegräumen, den sie hinterlassen." Oder anders formuliert, Unternehmen sollten sich überlegen, welche Daten/Systeme sie benötigen, um nach einem Angriff im Geschäft zu bleiben - und danach ihre Sicherheitsstrategie ausrichten.
Security als Wettbewerbsvorteil
Im Zusammenhang mit der wachsenden Gefahr durch Cyber-Kriminelle appellierte Julian King, EU-Kommissar für die Sicherheitsunion, dass die Industrie endlich ihre Rolle überdenken solle und "sich zu einem Security Provider wandeln muss." Die Hersteller, so King weiter, sollten Security nicht lediglich als Kostenfaktor betrachten, sondern als Wettbewerbsvorteil wahrnehmen und sich auf Standards für ihre Produkte einigen. Vor dem Hintergrund, dass bereits 34 Prozent der EU-Bürger Opfer von Cyberangriffen wurden, habe die IT-Industrie die Pflicht, dass Security ein zentraler Bestandteil ihrer Business-Strategie werde und "endlich Sicherheitslöcher wie Default Passwords der Vergangenheit angehören."
Die Haltung der Industrie, bei Produkten wie Sensoren mit einem niedrigen Umsatzvolumen einfach die Sicherheit aus Kostengründen einzusparen, kritisierte auch Luis Jorge Romero, Generaldirektor des European Telecommunications Standards Institute (ETSI). "Wie soll es Smart Cities ohne Embedded Security geben", fragte Romero und warnte, dass offene Sicherheitsfragen den Siegeszug von IoT und die damit verknüpften Verbesserungen im täglichen Leben stoppen könnten. Auch er sieht die Industrie in der Pflicht, sich endlich auf Standards zu einigen, um so die Kosten für die Sicherheit zu senken. Der Rest sei dann eine Frage des Business-Modells, das dann bei einem entsprechenden Marktvolumen skaliere.
Softwarehersteller in Verantwortung nehmen
Foto: F8 studio - shutterstock.com
Eine engere Zusammenarbeit aller Beteiligten hält auch EU-Kommissar King angesichts der Bedrohung durch Cyber-Kriminelle für erforderlich. Eine Forderung, der sich Claudia Nemat, Vorstandmitglied der Deutschen Telekom, anschloss. Auch sie appellierte an die Verantwortung der Softwareindustrie und forderte, "dass die Softwarehersteller die gleiche Verantwortung für die IT-Sicherheit übernehmen müssen wie Infrastrukturanbieter." Es könne nicht angehen, so Nemat weiter, dass neben der Pharmaindustrie lediglich noch ein anderer Industriezweig keine Verantwortung für seine Produkte übernehme. Doch Nemat nahm nicht nur die Softwareanbieter in die Pflicht, sondern bemängelte auch die Sorglosigkeit der Verbraucher in Sachen Security. Hier müsse der Staat eingreifen und an den Schulen endlich ein Pflichtfach zur digitalen Kompetenz einführen - für Schüler und Lehrer.
Die Verantwortung jedes Einzelnen sprach auch Arne Schönbohm, Präsident des BSI, an. Man müsse sich von dem Glauben, dass es im Cyber-Zeitalter eine 100-prozentige Sicherheit geben könne, verabschieden, so der BSI-Chef. Letztlich sei jeder selbst verantwortlich, so Schönbohm weiter, "denn der Glaube an kostenlose Apps ist genauso eine Illusion wie der Glaube an ein kostenloses Mittagessen - am Ende bezahlt der User mit seinen Daten". In diesem Zusammenhang unterstrichen Mitdiskutanten wie Ralf Wintergerst, CEO bei Giesecke+Devrient, die Bedeutung der digitalen Identität. So könne der Nutzer einerseits identifiziert werden, zum anderen festlegen, mit wem er seine Daten teilt. Technisch könne dies durch Verfahren wie Blockchain sichergestellt und durch legislative Vorgaben wie GDPR unterstützt werden, in dem die Industrie darüber informiert, welche Daten sie erhebt und mit wem sie diese teilt. Ferner sollten sich die Consumer langsam mit dem Gedanken anfreunden, dass sie auch im privaten Umfeld eine Art Identity-Management betreiben müssen.
Sicherheit für die gesamte Fabrik
Probleme, die IoT-Business-Anwender in dieser Form nicht kennen. Sie plagen ganz andere Aspekte, wie Hennig Rudolf, Global Head of Industrial Security Services bei Siemens, verdeutlicht: "Im Falle eines Einbruchs werden innerhalb einer Minute zigtausende Systeme infiziert, darauf sind viele Unternehmen nicht vorbereitet." Eine Vorbereitung, die für Rudolf schon bei der Frage nach der Verantwortlichkeit beginnt und dann bei Aspekten wie Updates für Maschinen endet, "denn diese haben eine längeren Lebenszyklus als ein Smartphone, was eine Support über einen langen Zeitraum bedeutet".
Schwierigkeiten, die in den Augen von Alpha Barry, Head of Strategy bei ThyssenKrupp, erst mit IoT aufkamen, "denn bisher hatte ich keine Datenverbindung in die Fabrik, mit IoT ist nun die gesamte Fertigung vernetzt." Mit der Konsequenz, dass ein IT-Verantwortlicher heute im IoT-Umfeld in einer mittelgroßen Fabrik genauso viele Devices abzusichern habe wie früher im gesamten Enterprise Network. "Allerdings mit dem Unterschied, dass das Budget für IT-Security nicht um das Zehnfache gestiegen ist", beschreibt Barry das Dilemma.
Hoffnung Security-Zertifikate
Foto: BeeBright - shutterstock.com
Wie andere Diskutanten erwartet auch Barry, dass die Softwareindustrie für Sicherheitsfehler endlich in die Haftung genommen wird und ähnliche Vorgaben erhält wie die Betreiber kritischer Infrastrukturen. Des Weiteren kann sich Barry vorstellen, dass Zertifikate eine Hilfe sein könnten, wenn sie etwa bei der Produktlieferung über den aktuellen Security Level informieren und etwa angeben, wie lange der Kunde Sicherheits-Updates erhält. " Ich sehe hier eine 100-prozentige Chance, dass wir eine solche Maschine kaufen würden und dann auch länger einsetzen", bekennt der ThyssenKrupp-Manager.
Die Verantwortung respektive Haftung der IT-Industrie würde auch gerne Evert Dudok, Mitglied des Executive Management Board von Airbus Defence und Space, sehen, wobei er sich damit leicht tut, denn für die Luftfahrtindustrie seien Prinzipien wie Safety by Design schon seit langem selbstverständlich. "Und das benötigen wir auch im IoT-Umfeld", so Dudok, "wenn wir nicht Gefahr laufen wollen, dass Sensoren Fake News anstelle valider Messdaten liefern." Angesichts fehlender internationaler Standards und Übereinkommen in Sachen Security hat man sich bei Airbus für einen ganz pragmatischen Ansatz entschieden. Der Luft- und Raumfahrtkonzern verfolgt ein "Best of Class"-Konzept, bei dem er die besten Sicherheitsvorschriften aus den USA, der EU und China in seine eigene Sicherheitsstrategie übernimmt.
Alles in allem lassen sich die Forderungen der auf der MCSC anwesenden Experten in vier Kernforderungen zusammenfassen:
ein Haftung der Softwarehersteller für Security-Fehler
internationale Sicherheitsstandards
Security by Design als must have
Sicherheitsbewusstsein der Consumer fördern.
Bei der Frage, wie im Alltag praktisch auf die Bedrohungen und mögliche Angriffe reagiert werden solle, herrschte unter den Teilnehmern keine Einigkeit. Gerade die Aufforderung von Robert Joyce, Cybersecurity-Koordinator des Weißen Hauses, zu mehr internationaler Zusammenarbeit, wie sie die USA gerade mit Großbritannien teste und der Gewährleistung der dortigen Bürgerrechte, stieß bei den Teilnehmern auf Skepsis. Einer Meinung war man allerdings wieder, als Joyce von Russland und China eine stärkere Strafverfolgung von Hackern und Crackern forderte.
Warnung vor Gegenattacken
Einigkeit herrschte auch darüber, dass es für Unternehmen keine gute Idee sei, auf Cyber-Angriffe mit Gegenangriffen zu reagieren. "Im Cyber- versus Cyber-Konflikt gibt es keine symmetrischen Antworten", unterstrich der Security-Koordinator. Zumal in den Augen von DEF-CON-Chef Moss eh keine Chancengleichheit herrscht: "Die Angreifer sind in der Regel gut finanziert und verfügen über 100 bis 200 Millionen Dollar Budget, während die Konzerne im Schnitt nur 50 bis 60 Millionen haben - da ist ein Gegenangriff keine gute Idee." Darüber, ob in dieser Situation KI-Methoden den Unternehmen bei der Abwehr helfen könnte, waren die Diskutanten uneinig. Während für Eugene Kaspersky, Chairman und CEO von Kaspersky Lab, die Diskussion um AI-gestützte Security-Software aus heutiger Sicht "nur Marketing-Bullshit" ist, kann sich Moss eine entsprechende selbstlernende Software durchaus vorstellen. Allerdings mit dem Pferdefuß, dass sich auch die Angreifer dieser Technik bedienen werden. "Ich halte einen Krieg der Algorithmen in naher Zukunft durchaus für wahrscheinlich", erklärte Moss.
Womit unter dem Strich dann wieder der Mensch und seine Expertise den Ausschlag gibt, weshalb ein klassisches Risiko-Management bei Cyber-Security-Fragen nicht greife. "Hört auf die Nerds und nicht auf den CFO", riet denn auch Nemat, "und wenn ihr keine Nerds im Unternehmen habt, dann stellt sie ein."