Interview zur Cybersicherheit Schutz gegen Hacker - aber wie?
Heute treffen sich in Potsdam Experten zur Konferenz für Nationale CyberSicherheit. Ein wichtiges Thema dabei: Hackerangriffe. Hier ist die Verunsicherung groß. Dennoch stellt der IT-Sicherheitsexperte Christoph Meinel im Gespräch mit tagesschau.de eine digitale Sorglosigkeit fest. Hier sei jeder User selbst gefordert.
tagesschau.de: Verschiedene Hackerangriffe haben in den vergangenen Monaten gezeigt, wie verwundbar wir sind. Welche Möglichkeiten gibt es, sich dagegen zu schützen?
Christoph Meinel: Man muss es den Cyberkriminellen so schwer wie möglich machen. Aber solche Angriffe können wir nicht ausschließen. Das Internet ist in seiner Konstruktion offen und kann missbraucht werden. Es werden regelmäßig Schwachstellen in Programmen entdeckt, die dann von Hackern missbraucht werden können. Diese Entdeckungen führen typischerweise dazu, dass der Software-Anbieter eine Reparatur, ein Update, liefert. Wenn die Netzwerk-Administratoren das eingespielt haben, ist die Schwachstelle nicht mehr gefährdet. Wenn die Verantwortlichen sagen, das mache ich irgendwann im nächsten Jahr, ist es ein leichter Angriffspunkt für Cyberkriminelle. Natürlich müssen die Netzwerkverantwortlichen ihre Netzwerke auch permanent beobachten, um Angriffe so schnell wie möglich zu entdecken und Gegenmaßnahmen einleiten zu können.
Christoph Meinel ist wissenschaftlicher Direktor und Geschäftsführer des Hasso-Plattner-Instituts (HPI) in Potsdam. Er ist ordentlicher Professor für Informatik und hat den Lehrstuhl für Internet-Technologien und -Systeme am HPI inne. Das HPI wird finanziert von der Stiftung von Hasso Plattner, einem der Gründer von SAP.
Warnungen in Echtzeit
tagesschau.de: Welche technischen Möglichkeiten gibt es, Hackerangriffen zu begegnen?
Meinel: In unserer aktuellen Forschungsarbeit sind wir mit der Entwicklung einer speziellen Analyse-Plattform befasst, um Angriffe in Echtzeit zu erkennen. Das funktioniert so, dass wir alle technischen Daten, die bei der Interaktion von Anwendungen über das Internet anfallen, in ein einheitliches Format bringen und laufend überwachen. Wir wissen, welche Schwachstellen in welchen Anwendungen Angriffsmöglichkeiten bieten. Daraus errechnen wir sogenannte "Attack-Graphen". Sie zeigen auf, wie Hacker vorgehen würden, um in das Netz einzubrechen. Unser System vergleicht dann die aktuellen Daten mit denen aus der Analyse der "Attack-Graphen" gewonnenen Daten. Wenn es da eine Übereinstimmung gibt, geben wir eine Warnung heraus.
tagesschau.de: Wann ist mit dem System zu rechnen?
Meinel: Im Moment testen wir ein Pilotsystem. Dafür arbeiten wir mit Unternehmen zusammen, die sehr komplexe Netzwerke haben. Damit stellen wir sicher, dass unser System auch in dieser Umgebung funktioniert. Produkte mit diesem Leistungsprofil müssen dann die Unternehmen bauen.
Hauptziel des Gesetzes ist es, sogenannte kritische Infrastrukturen wie die Energie- oder Telekommunikationsnetze besser vor Cyberattacken zu schützen. Ihre Betreiber sollen besondere Vorfälle oder Attacken künftig melden. Dabei sollen auch anonyme Hinweise möglich sein. Bei Energiefirmen spielen zudem Vorschriften der Bundesnetzagentur sowie ein neuer IT-Sicherheitskatalog eine wichtige Rolle. Diese verpflichten sie, schnell ein eigenes Management-System zur IT-Sicherheit aufzubauen. Innenminister Thomas de Maizière hatte das Gesetz im Sommer 2014 vorgestellt, im März gab es die erste Beratung im Bundestag. Seitdem wird der Entwurf viel kritisiert.
"In vielen Bereichen bald überholt"
tagesschau.de: Die Bundesregierung versucht mit dem IT-Sicherheitsgesetz einen Beitrag zur IT-Sicherheit zu leisten. Kritiker sehen das Gesetz als einen "zahnlosen Tiger". Wie ist Ihre Einschätzung?
Meinel: Das Gesetz hat gute Elemente, in anderen Bereichen wird es bald überholt sein. Jede Gesetzgebung in diesem Bereich ist schwierig, weil wir mitten im rasanten Entwicklungsprozess der IT-Technik sind. Was in fünf Jahren kommen wird, ist jetzt noch nicht absehbar. Die Politik kann zwar Standards setzen und in Richtlinien vorschreiben, wie mit Daten umgegangen wird. Sie kann aber keine technische Lösung vorschreiben. Da ist die IT-Wirtschaft in der Verantwortung und auch die Nutzer sind gefordert.
Das Hasso-Plattner-Institut veranstaltet ab heute zum dritten Mal in Folge die Potsdamer Sicherheitskonferenz. Ziel ist es, IT-Verantwortliche mit Spitzenvertretern aus Politik, Verwaltung, Wirtschaft und Wissenschaft auf dem neutralen Feld der Wissenschaft zusammenzuführen. Dabei wollen sie gemeinsam Handlungsoptionen und Sicherungsmaßnahmen in der Cybersicherheit analysieren.
tagesschau.de: Was kann ein Nutzer tun, wenn er verantwortlich mit seinen Daten umgehen will?
Meinel: Jeder Nutzer sollte darauf achten, welche Internetseiten er besucht, welche E-Mails er beantwortet, und welche E-Mailanhänge er öffnet. Er muss regelmäßig verfügbare Updates für seine Programme einspielen und vor allem nachdenken, wo er seine wertvollen Daten speichert. Immer wieder beobachten wir, wie nachlässig und unreflektiert Nutzer mit ihren Daten umgehen. Wir sprechen da gerne von einer digitalen Sorglosigkeit. Als Hochschuleinrichtung setzen wir auf Sensibilisierung der Nutzer und Stärkung ihres Sicherheitsbewusstseins. Je besser die Menschen verstehen, was technisch passiert, umso besser können sie entscheiden, welche Schutzmaßnahmen sie ergreifen.
Passwort? Oft "12345"
tagesschau.de: Haben Sie ein Beispiel?
Meinel: Wenn die Nutzer wissen, warum ein Passwort da ist, dann werden sie nicht, wie heute leider üblich, als Passwort "12345" wählen. Denn sie haben verstanden, dass sie sich selbst schaden und die Tür für Hacker öffnen. Vorsichtig sein sollten die Nutzer auch, wenn sie Daten in einer öffentlichen Cloud speichern.
tagesschau.de: Wieso sind diese kostenlosen Clouds, also Orte, an denen eigene Daten bei einem Betreiber im Internet gespeichert werden, oft unsicher?
Meinel: Wer seine Daten in eine kostenlose Cloud gibt, der muss sich fragen, woher hat der Dienst seine Einnahmen. Die immer gleiche Antwort ist, dass er die Daten der Nutzer zu Geld macht. Ausgewertet sind die Daten sehr interessant für Werbung und andere Zwecke.
Deutsche Version der Dropbox?
tagesschau.de: Sie arbeiten an einer Lösung, um in einer Cloud ausgelagerte Daten besser zu schützen. Wie sieht die Lösung aus?
Meinel: Wir arbeiten in einem Projekt zusammen mit der Bundesdruckerei. Die Daten werden dabei verschlüsselt. Die verschlüsselten Daten werden in Bruchstücke zerhackt und an verschiedene Cloud-Provider gesendet, sodass jeder nur einen Teil der verschlüsselten Daten hat. Das ist reiner Datensalat, damit haben die Betreiber der Cloud keinen Zugriff auf die Daten. Die Daten, die ich dagegen in die Dropbox gebe, die sind für die Betreiber von Dropbox einseh- und auswertbar. Bei unserem Projekt will die Bundesdruckerei sogar dafür sorgen, dass Cloud-Server nur in Deutschland liegen. Damit soll den Nutzern signalisiert werden, dass sie sich auf den deutschen Datenschutz verlassen können.
tagesschau.de: Eine sichere deutsche Alternative. Gib es im Bereich IT-Sicherheit überhaupt nationale Lösungen?
Meinel: Insgesamt ist es mit nationalen Lösungen sehr schwierig. Das Internet ist kein nationales Phänomen. Die Cloud-Provider leben davon, dass sie Rechenzentren in verschiedenen Ländern betreiben. Leider gelten in jedem Land andere Datenschutzgesetze. Deswegen wird zumindest in Europa um ein einheitliches Datenschutzgesetz gerungen, um gerade diese Kleinteiligkeit, die nicht zu den globalen Kommunikationsmöglichkeiten des Internets passt, zu überwinden.
Das Interview führte Barbara Schmickler, tagesschau.de.