„IT-Awareness muss im Kindergarten beginnen"

„IT-Sicherheit war früher ein Nebenjob: Nur eine von vielen Aufgaben und keine Kernaufgabe", sagt Roland Ledinger, Leiter des Bereiches IKT-Strategie des Bundes im Bundeskanzleramt. Dies hat sich in den vergangenen Jahren drastisch geändert. Um Österreich besser gegen Cyber-Attacken und deren Auswirkungen zu rüsten, gibt es seit 2007 das CERT für den Unternehmens- und Privatbereich und GovCERT für den Behördenbereich. Derzeit wird mit den CERTs und Experten aus verschiedenen Bereichen an einer gemeinsamen Strategie gearbeitet, die Ende 2012 der Bundesregierung vorgelegt werden soll.

Zu den Experten aus den verschiedenen Bereichen gehören auch Vertreter von kritischer Infrastruktur, wie Energie, Finanzen und auch der Flughafen. „Im privaten Bereich ist mittlerweile sehr viel kritische Infrastruktur, die nicht mehr staatlich gesteuert wird", sagt Ledinger: „Auch wenn diese Unternehmen kaufmännisch geführt werden um zumindest kostendeckend zu sein, darf nicht vergessen werden, dass es nicht nur Betriebe sind, sondern es sich dabei auch um kritische Infrastruktur handelt." Die Energielieferanten hätten dies bereits erkannt und seien gerade dabei in Expertenrunden Lösungen zu diskutieren, um Smart Metering abzusichern.

Automatisches Warnsystem ist Wunschtraum
Als eine der wichtigsten Aufgaben für die IT-Sicherheit sehen das Bundeskanzleramt und CERT den Aufbau eines Expertennetzwerks. „Es ist ein Wunschtraum, der sich bis heute nicht erfüllt hat, dass man Sensorik im Internet verteilen kann, die automatisch Alarm schlägt bei einer Cyber-Bedrohung" sagt Robert Schischka, Leiter von CERT.at: „Es gibt auch Zweifel, dass dies jemals möglich ist." Was sich laut Schischka bewährt hat, ist ein Expertennetzwerk, in dem sich IT-Fachkräfte national und international austauschen und informieren.

Das Problem der Erkennung einer Bedrohung zieht sich bis zum Endnutzer fort. „Schadsoftware wird raffinierter, deshalb ist es für viele User schwer zu erkennen, ob es wirklich ein Schädling ist oder nur eine Anomalie im Netzwerk", sagt Schischka. Für ihn hat da auch etwas mit der Mentalität vieler User zu tun: „Es gibt immer noch das Mindset: Solange ich Mails schreiben und im Web surfen kann, kann es nicht so schlimm sein."

Unbewusstes Ziel
Ein weiteres Problem ist, dass viele Unternehmen in Österreich nicht glauben, ein lukratives Ziel zu sein. „Der Trend geht dahin, häufig besuchte Seiten zu hacken, um darüber Schadsoftware zu verteilen", sagt Schischka: „So kann etwa eine Tourismus-Informationsseite ein beliebtes Hacker-Ziel sein, auch wenn keine Kreditkartendaten oder ähnliches davon gestohlen werden können."

Eine relativ junge Angriffsform, die ebenfalls auf beliebte Websites abzielt, ist Google Conditional Hacks, mit der sich CERT.at seit Mitte 2011 befasst. Dabei wird ein PHP-Schadcode in eine Website eingeschleust, die ein möglichst hohes Google-Ranking hat und bei den Suchergebnissen weit vorne gelistet wird. Besucht der Webcrawler von Google die Website, werden Schlagwörter wie „Viagra" eingebaut. Sucht man dann in Google nach Viagra, findet man die Seite. Wird auf den Link geklickt, schickt der PHP-Schadcode den Besucher zu einem passenden Webshop. „Diese Methode ist auch insofern tückisch, da der Betreiber der Website den Schaden oft nicht bemerkt. Besucht man die Website direkt und nicht über Google, ist der Viagra-Webshop nicht zu sehen", sagt Schischka.

Auch der Hacktivism sollte nicht unterschätzt werden. 68,2 Prozent der Zwischenfälle, die CERT.at im Jahr 2011 gemeldet wurden, sind Defacements. Die Protestaktionen der Hacker-Kollektive, in Österreich speziell durch AnonAustria, können weitere Auswirkungen haben, als bloß das „Verschandeln" einer Website. So kam AnonAustria unter anderem an Kundendaten der GIS und E-Mail-Adressen und Passwörter von Politikern und Privatpersonen, die sich auf Seiten von Parteien registriert hatten. Für Schiscka ist dabei bedenklich, dass viele der Daten mittels SQL-Injection erbeutet wurden: „Die Methode gibt es seit 15 bis 20 Jahren. Wenn die Unternehmen ihre Websites regelmäßig auf Lücken scannen würden, hätten einige Hacks verhindert werden können."

Sicherheit im Hinterkopf
Schiscka empfiehlt Unternehmen, ihre Webauftritte gleich mit der Sicherheit im Hinterkopf zu designen. „Erst den Webauftritt gestalten und danach eine Sicherheitslösung darüberstülpen ist keine gute Idee." Unternehmen sollten außerdem darauf achten, dass, wenn sie neue Features zu ihrer Website hinzufügen, diese ebenfalls auf ihre Sicherheit überprüft werden. Sonst könnte ein bisher sicherer Webauftritt um ein Schlupfloch erweitert werden.

Trotz Trends und Prognosen betont Schiscka, dass alte Attacken und Angriffsformen nicht aussterben: „Nur weil Einbrecher gerne durch die Hintertür kommen, sollte man trotzdem die Vordertür absperren." Als Beispiel nennt er die starke Zunahme in den vergangenen Jahren bei Angriffen auf PDFs und PDF-Reader. „Das heißt nicht, dass es jetzt deshalb weniger Malware gibt, die direkt das Betriebssystem angreift."

Das beweisen auch die Botnetzwerke. Obwohl Conficker Anfang 2009 gewütet hat und mediale Aufmerksamkeit durch das Lahmlegen von 3000 Rechnern der Kärntner Landesregierung erhalten hat, ist der Wurm bis jetzt nicht ausgerottet. „Ähnlich ist es auch mit dem Rustock-Botnet. Man kann zwar die Kontrollserver ausschalten, wenn der Wurm jedoch am Rechner bleibt, kann der nächste Kontrollserver ihn wieder für ein neues Botnet nutzen", sagt Schiscka. Es läge am Enduser, seinen Computer entsprechend zu schützen.

Mobile Endgeräte als Ziel
CERT.at sieht Schadsoftware, die gegen mobile Endgeräte gerichtet ist, als eine ernstzunehmende Bedrohung. Sie seien nicht nur ein interessantes Angriffsziel aufgrund der darauf gespeicherten Daten und zukünftig vielleicht auch ihrer Funktion als elektronische Geldbörse, sondern auch wegen ihrer Leistung. „Mit einem aktuellen Smartphone hat man quasi einen Server in der Tasche. Für Enduser ist nur schwer erkennbar, was eigentlich im Hintergrund alles passiert", sagt Schiscka. Es ist wahrscheinlich, dass zukünftige Botnetze auch Smartphones und Tablets einbinden.

Da Virenscanner für mobile Geräte noch in den Kinderschuhen stecken, empfiehlt Schiscka private und geschäftlichte Smartphones voneinander zu trennen: „Am sichersten ist, sie nehmen eines für Spiele und Apps und eines, auf dem sie ihre wichtigen Sachen, wie Tele- und Internet-Banking oder berufliche E-Mails, nutzen."

Ausblick
Gerade Smartphones und Tablets sind auch gefährdet, da die Nutzer immer jünger werden. „In manchen Familien können schon die Dreijährigen mit dem Tablet besser umgehen als die Eltern und in der Volksschule hat fast jedes Kind ein Handy", sagt Ledinger. Das Bewusstsein mit dem richtigen und sicheren Umgang mit der Technik sollte so früh wie möglich erfolgen. „Der richtige Umgang mit der Technik muss schon im Kindergarten beginnen. Wir haben ein verpflichtendes Kindergartenjahr, wieso also nicht auch einen verpflichtenden Awareness-Kurs im Kindergarten?", sagt Ledinger.

Im wirtschaftlichen Sektor ist Industriespionage ein zunehmendes Problem. „Das ist derzeit eine größere Bedrohung als der viel zitierte Cyberwar", sagt Schiscka. Gerade in Österreich gibt es viele kleinere Unternehmen, die sich aufgrund ihrer Größe nicht als Ziel sehen. Durch ihre Spezialisierungen auf bestimmte, technische Gebiete, können sie aber zum Ziel werden. „Es nehmen auch Angriffe über die Bande zu", sagt Schischka. Anstatt in gut gesicherte Systeme des Ziels direkt einzudringen, wird versucht das System eines Lieferanten oder Kunden zu knacken und so über Umwege ans Ziel zu kommen. „In den USA gibt es dokumentierte Fälle über Attacken, die über fünf Stationen zum finalen Ziel geführt haben", sagt Schischka.

Ein weiterer Trend ist das Social Engineering. „Man glaubt gar nicht, was man mit einem Telefon und etwas Hintergrundwissen erreichen kann", sagt Schischka. Die Anrufer geben sich etwa als Mitarbeiter des Unternehmens oder Mitarbeiter des Server-Hosters aus und erfragen angeblich vergessene Passwörter oder andere Daten. „Scheuen sie sich auch nicht unbekannte Menschen anzureden, die sie am Gang im Unternehmen sehen", sagt Schischka: „Mit dem richtigen Dresscode ist es extrem einfach in Firmen reinzugehen und mit ein paar Laptops unter dem Arm wieder zu verschwinden."