Cert.at: "Windows XP ist ein Riesen-Problem"

Am Donnerstag wurde der "Internet-Sicherheitsbericht 2014" (PDF) vorgestellt. Die futurezone traf Robert Schischka, Leiter des Computer Emergency Response Teams (CERT.at) zum Interview über aktuelle und vergangene Sicherheitsprobleme, die auch 2015 noch für Zündstoff sorgen könnten.

Futurezone.at: Es war das Aufreger-Thema von 2014: Anfang September wurde der iCloud-Hack publik. Zahlreiche Hollywood-Stars wurden Opfer eines Online-Angriffs, bei dem private Nacktfotos erbeutet und online veröffentlicht wurden. Sind die Promis bzw. User in so einem Fall selbst schuld, wenn sie Nacktfotos von sich in die Cloud stellen oder sollten die Anbieter der Cloud-Dienste für den Datendiebstahl haften?

Robert Schischka: Ich bin der Meinung, dass es eine Mischung aus beidem ist. Auf der einen Seite kann man sich schon ein bisschen fragen, welche Fotos von mir möchte ich vielleicht keinesfalls veröffentlicht haben und ist es dann wahnsinnig schlau, einerseits solche Fotos überhaupt anzufertigen und andererseits einem Drittanbieter, so seriös er sein mag, zu überlassen? Das ist eine Frage, die man durchaus reflektieren darf.

Zu sagen, der User ist komplett selbst schuld, ist aber sicherlich zu kurz gegriffen. Wenn ich mich heute eines Dienstleisters bediene, habe ich schon auch das Recht und den Anspruch, dass gewisse Mindeststandards erfüllt werden. Zum Beispiel, dass mit meinen Daten sorgfältig umgegangen wird, dass meine Daten nicht nach Belieben quer durch die Gegend geschoben werden, dass ich als Benutzer informiert werde, unter welcher Voraussetzung Daten hergegeben werden.

Was also ist des Rätsels Lösung?
Von den Cloud-Anbietern werden aus Marketing-Gründen relativ stark die Vorteile ihres Angebots in die Vordergrund gestellt, etwa wie bequem ein Cloud-Dienst nicht ist, auf mögliche Risiken wird dann natürlich weniger intensiv hingewiesen. Es gibt auch Cloud-Anbieter, die explizit damit werben, dass ihre Daten verschlüsselt abgelegt werden, was natürlich oft ein Stück Bequemlichkeitsverlust ist – weil der Dienst dadurch langsamer wird, oder weil man einen bestimmten Client braucht. Aber ich glaube schon, dass es interessant wäre, wenn Cloud-Anbieter über die Merkmale Sicherheit einen gewissen Wettbewerb beginnen, nicht nur über „bei mir ist alles gratis“. Ob das Interesse dafür beim Kunden da ist, der mit seiner Geldbörse darüber abstimmt, wird sich dann zeigen.

Der Kunde ist somit nicht selbst schuld, aber er hat ein gewaltiges Wort dabei mitzureden, welches Produkt sich am Markt durchsetzt. Ich kann nicht erkennen, dass es da eine große Abwendung von den betroffenen Cloud-Anbietern gegeben hat wegen den Sicherheitsvorfällen. Man zuckt mit den Schultern und hofft, dass einem selbst nichts passiert.

Es hat also kein Umdenken gegeben?
Cloud-Anbieter im Unternehmensbereich haben durchaus Probleme bekommen, weil es im betrieblichen Bereich sehr wohl stärker hinterfragt wird, wo die Daten liegen, etwa wo es um die Frage geht, an welches Gericht die Daten ausgeliefert werden müssen. Die große Skepsis bei den Privatanwendern habe ich aber noch nicht gesehen, da überwiegt die Attraktivität des neuesten Gadgets.

Im April 2014 hat Microsoft den Support für Windows XP offiziell eingestellt. Sicherheitsupdates werden seitdem nicht mehr geliefert, Lücken nicht gestopft. Dennoch ist das System nicht totzukriegen. Wie verbreitet ist das Betriebssystem in Östereich noch?
Im betrieblichen Umfeld gibt es erschreckend viele, die den enorm teuren verlängerten Support-Vertrag gekauft haben, der einige 100.000 Euro kostet. Es ist extrem erschreckend, in wie vielen Bereichen Windows XP immer noch im Einsatz ist.

Gerade auch im Bereich der Klein- und Mittelbetriebe, wo bestimmte Branchenlösungen nur auf bestimmten Betriebssystemen laufen, kommt Windows XP noch vermehrt zum Einsatz. Der Aufwand besteht für Tischler oder Bauingenieure nicht darin, den PC auf Windows 8 oder 10 upzudaten, sondern darin, die Branchensoftware neu zu kaufen. Da reden wir von einigen tausend Euro. Da sehen die Menschen die Kosten-Nutzen-Relation nicht. Die Investitionen müssen dann erst verdient werden. Das ist ein Riesen-Problem. Und natürlich gibt es auch End-Kunden mit Uralt-Geräten.

Auch der Bereich der Router, Set-Top-Boxen und Modems ist heikel. Das Botnetz, mit dem Hacker zu Weihnachten die Spielenetzwerke von Microsoft und Sony lahmgelegt hat, sollen hauptsächlich aus kompromittierten Routern bestanden haben. Sind Router ein ernsthaftes Problem?
Provider sollten auf jeden Fall sichere Geräte ausliefern. Kunden sollten sich auch fragen: Was kann ein Gerät? Greift man da zum billigsten Modell, oder doch zu höherwertigen Geräten mit einem Mehr an Funktionalität? In welchem Konfigurationszustand werden die Geräte ausgeliefert? Es gibt Generationen von Geräten, die man gar nicht updaten kann. Das Problem ist auch, dass die Geräte relativ lang in Betrieb bleiben. Normale Kunden haben Router oder Modems fünf bis sieben Jhare lang. Dadurch hat man einen starken Angriffsvektor in vielen Ländern.

2014 ebenfalls ein großes Thema war Heartbleed, ein Fehler im Programmcode des Sicherheitsprotokolls OpenSSL. Durch gezieltes Ausnützen der Lücke war es Angreifern möglich, Passwörter und andere geschützte Informationen wie Session Cookies auszulesen. Warum gibt es noch immer ungesicherte Systeme in Österreich?
An der Statistik sieht man sehr schön zweierlei – einerseits, dass die Informationen, die über Heartbleed verbreitet wurden, etwas bewirkt haben. Man kann einen deutlichen Abfall an erkennen. Andererseits sieht man, dass es eine Restgröße gibt, die man nicht wegkriegt. Das kann viele Ursachen haben. Alle müssten ihre eigenen Geräte scannen, um zu sehen, ob sie betroffen sind. Das ist manchen aber schlichtweg egal. Das ist aber bei vielen Sicherheitsproblemen so.

Bei Heartbleed ist es aber viel interessanter, dass die Lücke zwar viele Leute gefixt haben, diese aber kein neues Zertifikat installiert haben. Da gibt es zwar keine Zahlen dazu, die sind nicht gut ermittelbar. Aber das Problem ist ein bisschen wie jemand, der ihnen über die Schulter geschaut und ihr Passwort gestohlen hat und sie installieren sich einen Sichtschutz, ändern aber ihr Passwort nicht. Das ist so der Stand der Dinge, den wir hier haben.

Der britische Premierminister David Cameron hat angekündigt, Verschlüsselung im Internet vebieten zu wollen. Was halten Sie von diesem Vorstoß?
Als Staatsbürger halte ich das für höchst bedenklich, solche Vorschläge zu bringen. Ich denke, dass es ein Grundrecht gibt, gesichert kommunizieren zu können. Als Techniker weiß ich: Wenn man solche Hintertüren einbaut ist immer das Problem, dass man nicht verhindert kann, dass diese Hintertüren nicht auch von anderen ausgenutzt werden.

Aus technischer Sicht ist es eine schlechte Idee, kryptografische Verfahren gezielt zu schwächen. Das ist ein weiterer Angriffsvektor, der nicht nur der Polizei zur Verfügung steht, sondern all den anderen auch. Es ist ja nicht so, dass nur der amerikanische Geheimdienst die Möglichkeiten und Ressourcen oder entsprechende Rechenpower hat, das kann jeder andere Staat auch. Motivierte Verbrecherorganisationen können das auch. Ich halte es für sehr schlecht Verfahren mit Sollbruchstellen zu bauen. Das hat sich noch nie bewährt in Wirklichkeit, weil diese noch immer an der falschen Stelle ausgehebelt wurden.