Auch Sicherheitsexperten kleben ihre Webcams ab

IT-Sicherheit ist nicht erst seit den Snowden-Enthüllungen ein heißes Thema. Länder, Firmen und Privatpersonen müssen davon ausgehen, dass Ihre Daten begehrt sind. Auch in Österreich wird deshalb fleißig in diesem Bereich geforscht. Die futurezone hat Thomas Bleier, den Leiter des ICT-Security-Forschungsprogramms am Austrian Institute of Technology (AIT), zum Gespräch über aktuelle Probleme und persönliche Paranoia gebeten.

futurezone: Der Schutz der nationalen Infrastruktur ist ein wichtiger Teil Ihrer Forschungsarbeit am AIT. Wie wichtig ist es für ein Land, entsprechende Maßnahmen zu ergreifen und wo steht Österreich in diesem Zusammenhang?
Thomas Bleier: Es ist heute davon auszugehen, dass die Infrastruktur angegriffen wird. In Österreich werden deshalb defensive Kapazitäten aufgebaut. Offensiv-Kapazitäten sind mit hohem Aufwand verbunden und werden eher von großen Ländern aufgebaut. Die USA, China und Russland sind hier führend und setzen ihre entsprechenden Mittel auch ein. Das bekommt die breite Öffentlichkeit allerdings meist gar nicht mit.

Hat die Politik in ausreichendem Ausmaß erkannt, dass die Cyber-Sicherheit ein wichtiger Punkt ist?
Es gibt Bekenntnisse auf politischer Ebene. Dass es Handlungsbedarf gibt, wurde erkannt. Es sind aber auch die Betreiber der Infrastruktur gefordert. Vor allem der Informationsaustausch ist von enormer Bedeutung. Wenn etwas passiert, muss diese Information sofort weitergegeben werden.

Wie hoch ist das Risiko für eine Cyberattacke in Österreich?
Das Risiko setzt sich aus Bedrohung und Verwundbarkeit zusammen. Österreich ist ein kleines Land, die Bedrohung ist daher nicht so groß. Bei der Verwundbarkeit liegen wir vermutlich im Mittelfeld.

Das heißt Österreich ist relativ sicher, weil es hier kaum etwas zu holen gibt?
Das wäre zu einfach. Die Motivationen für Angriffe können verschieden sein. Terroristische Motive sowie staatliche, wirtschaftliche und politische Interessen können eine Rolle spielen. Wirtschaftsspionage ist vermutlich die größte Bedrohung, die Motive sind nicht immer klar voneinander zu trennen. Wenn Angreifer mit praktisch unbegrenzten Ressourcen wie die USA wirklich Zugriff, zum Beispiel auf ein Unternehmen, wollen, dann bekommen sie den auch. Die Frage ist, ob sich der Aufwand lohnt.

Das heißt auch kritische Infrastruktur wie das Stromnetz ist immer verwundbar?
Wir haben in Europa noch keine vollautomatisierten Energienetze, sondern Regelmechanismen, die immer eine menschliche Komponente haben. Das macht es schwieriger, ein Netz zum Zusammenbruch zu bringen, möglich ist es aber. Durch Redundanz und Backups soll das möglichst verhindert werden, aber durch zunehmende Komplexität steigt auch das Risiko.

Wie sieht es mit der Sicherheit der Mobilfunknetze aus?
Auch diese Systeme sind kritisch. Einer der derzeit weit verbreiteten Algorithmen, mit denen Sprachkommunikation in Mobilnetzen verschlüsselt wird, gilt als geknackt. Ein neuer Algorithmus soll zwar eingeführt werden, aber die Umstellung ist ein längerer Prozess der auch von den Prioritäten der Netzbetreiber abhängt. Bei der Datenübertragung wird zwar potenziell auch überwacht, die enormen Datenmengen, aus denen man die gewünschten Informationen filtern muss, sind aber auch für die Überwacher ein Problem.

Durch Edward Snowden haben wir gelernt, dass neben Ländern auch Privatpersonen im Visier von Behörden sind. Haben Sie selbst durch die Enthüllungen etwas neues erfahren?
Aus technischer Perspektive nicht. Das Ausmaß und die Tiefe der Überwachung war aber überraschend.

Trifft also auch die Sicherheitsexperten Mitschuld, weil sie zu naiv waren?
Bei Sicherheitsfragen geht es immer um Risikenabschätzung. Es mag sein, dass die Eintrittswahrscheinlichkeit einiger Ereignisse unterschätzt wurde. Hier ist derzeit auch ein Umdenken bei den Experten im Gange – allerdings ist es oft schwer, die Grenze zwischen realistischer Risikoeinschätzung und übertriebener Paranoia zu finden.

Gegen gewisse Dinge kann man sich doch ohnehin nicht schützen, etwa wenn es Hintertüren in der Infrastruktur-Hardware gibt.
Das stimmt, bei Hardware sind die Möglichkeiten begrenzt, die meisten Router etwa kommen aus den USA oder China, das ist aus einer gewissen Perspektive die Wahl zwischen Regen und Traufe. Europa hat es verabsäumt, einen entsprechenden Markt zu etablieren.

Wie wir gelernt haben bespitzeln sich doch auch europäische Freunde gegenseitig...
Zwar gäbe es auch mit europäischen Produkten vielleicht Probleme, aber allein die Vielfalt wäre gut für die Sicherheit. Zudem könnte der Quellcode offen entwickelt werden und so unter öffentliche Aufsicht gestellt werden. Derzeit müssen Nutzer den Produkten entweder vertrauen, oder einen enormen Mehraufwand betreiben.

Wie sieht es mit der Sicherheit von kommerzieller Software - etwa Betriebssystemen - aus?
Bei der Umsetzung aktueller Forschungsergebnisse in gängige Technik gibt es hier sicher noch Nachholbedarf, genau wie bei der Evaluierung der Programme. Fahrlässige Sicherheitslücken kann sich heute aber kein großer Hersteller mehr erlauben, allein schon wegen dem drohenden PR-Desaster. Das hat man etwa bei Adobes Flash gesehen.

Was können Privatpersonen mit begrenzten Mitteln tun, um sich zu schützen?
E-Mail-Verschlüsselung und HTTPS sind einfache Beispiele. Wer in öffentlichen Hotspots surft sollte ausscheließlich verschlüsselte Verbindungen einsetzen. Wenn Bedenken bezüglich der Anonymität bestehen, ist TOR ratsam. Hier muss das Bewusstsein der Bevölkerung noch geschärft werden.

Fehlt dem Durchschnittsnutzer vielleicht das technische Know-how?
Viele wirksame Maßnahmen haben gar nichts mit IT zu tun. Gegen Phishing-Angriffe kann man sich schützen, indem man Inhalte von Mails kritischer betrachtet und nicht alles glaubt, was darin versprochen wird. Wenn jemand an die Wohnungstür klingelt und eine Million verspricht, wären die meisten Menschen ja auch skeptisch. Außerdem sollte man Links in Mails bei kritischen Applikationen wie Paypal oder Telebanking nicht direkt anklicken, sondern explizit im Browser eingeben oder Bookmarks verwenden.

Wie halten Sie es mit der Sicherheit? Haben Sie Ihre Webcam abgeklebt?
Ja, ich klebe meine Laptop-Webcam ab. Es ist bekannt, dass es Trojaner gibt, die einen Zugriff auf die Webcam erlauben. Auch wenn ich meine Rechner mit anderen Mechanismen vor solchen Trojanern schütze, kann man nicht 100-prozentig sicher sein – ein Grundprinzip von Security ist „Defense in Depth“, also mehrere Schutzmechanismen hintereinander, zu verwenden.

Welche Maßnahmen ergreifen Sie sonst noch?
Bei heiklen Security-Nachforschungen verwende ich TOR. Im Alltag ist das aber nicht praktikabel. Ich trenne auch strikt zwischen unterschiedlichen Sicherheitsniveaus aufgrund des Risikos, etwa Privat, Office oder Security-Forschung, indem ich verschiedene virtuelle Maschinen verwende. Auch etwas restriktivere Browsereinstellungen können schon helfen. Meine Daten sind alle verschlüsselt und wenn notwendig kommuniziere ich auch verschlüsselt, das scheitert aber leider oft am Partner.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen AIT und futurezone.