Kaspersky: "Gegen Cybersabotage machtlos"

futurezone: Die Security-Branche war bisher stark von User-Themen wie Spam, Phishing und anderen klassischen Computerviren geprägt. Mit dem politisch motivierten Super-Wurm Stuxnet, der auf iranische Atomanlagen abzielte, scheint eine neue Dimension eröffnet.
Kaspersky: Stuxnet markiert den Beginn von militärisch motivierter Cybersabotage, die in den kommenden Jahren eines der großen Themen wird. Wenn man den Schadcode analysiert, erkennt man schnell, dass dieser Wurm ein Multi-Millionen-Dollar-Projekt und mit herkömmlicher Cyberkriminalität kaum vergleichbar ist.

Medienberichte führen den Wurm auf eine Zusammenarbeit des US-Geheimdienstes mit Israel zurück. Was ist Ihre Theorie diesbezüglich?
Wir wissen auch nicht viel mehr, als in den Medien zu lesen war. Um so eine Malware zu schreiben, muss man jedenfalls über ein Team an Top-Entwicklern verfügen und Zugang zu vertraulichen Daten und Informationen haben. Es gibt nicht sehr viele Großmächte in der Welt, die über diese Ressourcen verfügen.

Kann ein Unternehmen wie Kaspersky einen derartigen Angriff verhindern?
Hier geht es um sehr spezifische Ziele in einer sehr spezifischen Umgebung – im Fall von Stuxnet um die Torpedierung von ausgewählten Produktionsanlagen. Wenn solche Budgets im Spiel sind, ist man praktisch machtlos. Wir können den Wurm analysieren und dadurch gewisse Erkenntnisse für zukünftige Schutzmechanismen gewinnen, aber dann wird es im Normalfall schon zu spät sein.

Wie können sich Regierungen und Länder also gegen Cybersabotage schützen?
Es braucht viel strengere Regeln bei der Absicherung kritischer Infrastruktur. Kraftwerke, das Transportwesen und die Lebensmittelproduktion müssen vom öffentlichen Netz abgekoppelt sein. Das Ausführen von Zusatzprogrammen im eigenen Netzwerk muss untersagt sein und auch bei Software- und Hardware-Updates sollten strengste Sicherheitsvorkehrungen zum Tragen kommen.

Sind sich die politischen Vertreter dieser neuen Bedrohungen überhaupt bewusst?
Der von Polit-Aktivisten angezettelte Botnetz-Angriff auf Estland, der 2007 dort das Internet lahmlegte, hat viele Politiker wachgerüttelt. Das Prekäre daran ist, dass nur 50.000 infizierte Rechner notwendig waren, um ein Land mit drei Millionen Einwohnern offline gehen zu lassen. Man kann sich also leicht ausrechnen, wie viele PCs notwendig sind, um Österreich oder gar die USA mit 300 Millionen Einwohnern zu attackieren.

Für Österreich ist dieser Wert noch einigermaßen vorstellbar. Für die USA wären Ihrer Rechnung nach aber mehrere Millionen kompromittierte Systeme notwendig.
Die größten Botnetze bestehen aus bis zu zehn Millionen infizierten Rechnern, die auf Knopfdruck konzertiert agieren können. Wenn man sich diese Dimensionen bewusst macht, weiß man, was theoretisch alles möglich ist.

Am Höhepunkt der Wikileaks-Proteste haben Aktivisten Kreditkarten-Unternehmen und Regierungsseiten mit Serverattacken auf Trab gehalten. Existiert bereits ein Schutz vor Distributed-Denial-of-Service-Angriffen?
DDoS-Attacken, die letztlich zu einer Überlastung des Netzes führen und dieses in die Knie zwingen, sind schwer in den Griff zu bekommen. Wir konnten bisher zwar den einzelnen User schützen, aber kaum das Netzwerk. In Russland testen wir mit Partnern allerdings gerade eine Lösung, die diesbezüglich Abhilfe schafft.

Sowohl im Fall von Estland, wo die Cyberattacke zumindest teilweise Bürgerprotesten entsprungen ist, als auch bei den Angriffen der Wikileaks-Befürworter gehen die Meinungen auseinander, inwieweit derartige Proteste strafverfolgt werden sollen.
Ein Serverangriff bleibt ein Serverangriff. Wenn jeder eine DDoS-Attacke durchführen darf, dann wird die Welt im Chaos versinken. Hier geht es um große Schadenssummen, die Unternehmen, aber auch Privatpersonen entstehen. Wenn wichtige Services nicht mehr funktionieren, sind viele unbeteiligte User betroffen.

Stichwort Internet-User: Wo sehen Sie die größten Bedrohungspotenziale in den kommenden Jahren? Gerade soziale Netzwerke gelten ja als tickende Zeitbomben, was die Verbreitung von Malware betrifft.
Die Leute agieren leider viel zu sorglos. Das fängt beim Teilen persönlicher Daten an und hört beim unachtsamen Klicken auf Links auf. Aber wie es so schön heißt: Aus Schaden wird man klug. Die User werden ihre Lektion schon noch lernen. Das hat man auch nach dem „I Love You“-Virus Anfang 2000 gesehen. Seit dieser Epidemie passt man beim Öffnen von E-Mail-Attachments definitiv besser auf.

Seit Jahren sprechen Sie sich ja für eine offizielle Internet-ID aus, ohne die User gewisse Aktivitäten im Web nicht durchführen dürfen. Ist dieses Konzept mit dem offenen, freien Web vereinbar?
Jeder Autofahrer braucht einen Führerschein. Wenn man Amtsgeschäfte erledigt oder ins Ausland reist, muss man sich ebenfalls ausweisen. Nur im Internet kann jeder tun und lassen, was er möchte? Das ist doch absurd. Ich sehe das so: Wenn man nur im Web surft, E-Mails abruft oder was herunterladet, dann muss das ohne Einschränkung möglich sein. Alles, was ein potenzielles Missbrauchsszenario darstellt, wie Finanz-Transaktionen, politische Wahlen oder auch das Hochladen von ausführbaren Programmen sollte mit der ID abgesichert sein. Das funktioniert aber nur mittels internationaler Abkommen.

Eine derartige ID wirft die Frage auf, inwiefern damit Regierungen ihre Bürgerinnen und Bürger kontrollieren können. Ist das nicht ebenfalls eine potenzielle Gefahr?
Ich halte diese ständige Big-Brother-Angst für übertrieben. Wenn man mit so einer Lösung die überwiegende Mehrheit von Cyberkriminalität stoppen kann, ist es das mit Sicherheit wert.