Strategie gegen Datensammler

Die machbare Gegenstrategie gegen Datenräuber aller Art lässt sich in einem Satz zusammenfassen: Sensible Daten gehören in eine sichere Umgebung und niemals auf einen Rechner, der ohne Einschränkungen mit dem Internet verbunden ist. Denn bekanntermaßen ist das weltweite Netz keine Tankstelle, an der jeder Nutzer ein paar Liter informatorischen Treibstoff abzapfen kann, sondern eine gigantische Pipeline, in die man bei jedem Zugriff unfreiwillig integriert wird.

Mit anderen Worten: Wer das Internet benutzt, liefert theoretisch die auf dem PC gespeicherten Daten einer Welt von schätzungsweise 2,7 Milliarden Usern mit weit mehr als vier Milliarden Computern aus. Dass darunter nicht wenige Spione sind, dürfte niemanden verwundern.

Obwohl das alles andere als eine neue Erkenntnis ist, besteht an IT-Nutzern und sogar Systemadministratoren kein Mangel, die sich schon allein aufgrund einer Firewall, eines Virenscanners und möglicherweise weiterer Tools als sicher im weltweiten Netz wähnen. Dabei ist es eine altbekannte Binsenweisheit: Wer hundertprozentige Sicherheit für möglich hält, erliegt einer brandgefährlichen Illusion.

Boris Bärmichl, Sprecher des Vorstandes des genossenschaftlich aufgestellten und eng mit dem Bayerischen Verband für Sicherheit in der Wirtschaft zusammenarbeitenden Kompetenzzentrums für Sicherheit (KoSiB eG), spricht in diesem Zusammenhang von einem Paradigmenwechsel. Wollten die früheren, oftmals politisch motivierten Hacker mit ihren Angriffen auf hochgeschützte Netzwerke, beispielsweise des Pentagons, Furore machen, sind die heutigen Angreifer oft nach Unauffälligkeit trachtende Lohnarbeiter im Solde von Staaten oder kriminellen Strukturen.

Der „Erfolg“ dieser neuen Generation von Hackern: Rund 70 Prozent der Netzwerke deutscher Unternehmen sind nach seriösen Schätzungen von Schadprogrammen infiziert, ohne dass die Betroffenen dies auch nur ansatzweise ahnen. Das Gefahrenbild der Jetztzeit ist nicht von Viren oder Trojanern geprägt, die durch die Medien gehen, sondern von einer stillen, heimlichen und dadurch permanent wirksamen Angriffsmethodik. Sicherheitsexperten sprechen von „Advanced Persistent Threats“, zu Deutsch „Fortschreitenden andauernden Bedrohungen“.

Dass auch professionelle Abwehrmechanismen nicht unbedingt vor solchen Attacken schützen, belegt der jüngste Cyber-Angriff auf das Deutsche Luft- und Raumfahrtzentrum (DLR). Obwohl diese wichtige Forschungseinrichtung der Bundesrepublik Deutschland über ein „aufwendiges und erfolgreiches System zur Gewährleistung der Sicherheit vor Angriffen“ verfügt, so Prof. Dr.-Ing. Johann-Dietrich Wörner, Vorstandsvorsitzender des DLR, vagabundierte eine Art Super-Trojaner rund zwei Jahre lang durch die Netzwerke, bevor er von der zentralen Organisationseinheit IK-M (Informations- und Kommunikationstechnik- Management) entdeckt werden konnte. Das Schadprogramm war so programmiert, dass es sich bei Entdeckung selbst zerstörte und nur noch minimalste temporäre Spuren hinterließ. Die raffinierte Cyber-Attacke galt insbesondere der Raketentechnologie.

Dennoch und aller Häme von Teilen der Publikumspresse zum Trotz: Einen mit solch raffinierter „Tarnkappen-Technik“ arbeitenden Trojaner zu identifizieren, war schon eine Meisterleistung der IT-Sicherheitsexperten des DLR. Der Umstand, dass das Schadprogramm so lange unentdeckt blieb, ist eher einem anderen Sachverhalt zuzuschreiben. „Wie in der ‚normalen‘ Kriminalität auch, ist der Täter dem Opfer oder seinen ‚Beschützern‘ leider häufig einen Schritt voraus“, so formuliert es Wörner im „DLR-Blog“.

Der DLR-Chef spricht damit ein bekanntes Problem an. IT-Sicherheit kann oft nur auf bereits identifizierte Risiken reagieren. Neue Angriffsmethoden, für die noch keine Erkennungsmerkmale (Signaturen) vorliegen, bleiben vielfach unterhalb des Radars. Genauso verhält es sich mit Virenscannern. Erst wenn Schadprogramme in einer nennenswerten Anzahl auftreten, werden Gegenprogramme geschrieben. Das bedeutet: Nur für eine singuläre Attacke geschriebene Trojaner werden üblicherweise von den Anti-Viren-Programmen nicht detektiert. Beim Cyber-Angriff auf das DLR wurden solche Unikate unter den Schadprogrammen eingesetzt.

IT-Sicherheitsmechanismen, die solche Tarnkappen-Attacken zuverlässig abwehren können, gibt es bislang nicht. Der Elektroniker und ausgewiesene EDV-Experte Bärmichl rät stattdessen zu einem Maßnahmenpaket, das er selbst Entnetzung nennt. Dieser Terminus besagt, dass in einem Unternehmen kritisch überprüft wird, welche Rechner mit dem Netz verbunden werden sollten und welche besser nicht. Es liegt auf der Hand, dass beispielsweise für die Forschungs- und Entwicklungsabteilung und ihrem hochsensiblen Know-how andere Kriterien gelten müssen als für Unternehmensbereiche mit weniger schützenswerten Daten.

Entnetzen, so Bärmichl, dürfe aber nicht als bloßes Abkoppeln missverstanden werden, sondern müsse das Ergebnis einer ganzheitlichen Betrachtung sein, bei der zugleich Unternehmensziele, Bedürfnisse der Beschäftigten und IT-Sicherheitsaspekte eine Rolle spielen. So könnten auch in sensiblen Umfeldern Internetzugänge erhalten werden, nicht aber unbedingt auf Rechnern mit schützenswerten Daten. Entnetzung, so Bärmichl, sei der Einstieg in eine neue Struktur und keine reduzierte Form des bislang Bestehenden.

Ausgewogene Lösungen können zudem verhindern, dass sich eine Art innerer Widerstand der Beschäftigten gegen ungeliebte Neuerungen bildet und verfestigt. Wie wichtig eine sensible Vorgehensweise ist, macht auch Vorstandsvorsitzender Wörner im DLR-Blog deutlich. Gerade in der Wissenschaft würden nach seinen Worten die „Bewegungsmöglichkeiten“ im Internet sehr geschätzt und als wichtige Grundlage für erfolgreiche Arbeit angesehen. „Wann immer wir aus Sorge besondere Maßnahmen zum Schutz des Netzes eingeführt haben, wurde rasch Kritik an den damit einhergehenden Einschränkungen für die Netz- und Rechnerbenutzung laut. Die in letzter Zeit an Intensität und ‚Qualität‘ zunehmenden Angriffe haben wir mit zusätzlichen Sicherheitsmaßnahmen „bekämpfen“ wollen und auch hier immer wieder ein gewisses Unverständnis über die einhergehenden „Nachteile“ hören müssen.“

Entnetzen erfordert im Übrigen mehr als PCs, die sensible Daten auf der Festplatte gespeichert haben, von Rechnern mit Internetzugang physisch zu trennen. Dass Computer nicht vernetzt sind, heißt noch lange nicht, dass sie keinen Kontakt zur Außenwelt haben. Viele Chips und Bauteile sind laut Bärmichl in der Lage, per Funk oderLichtwellen zu kommunizieren. Auch über das Stromnetz können Informationen abfließen. Nicht zu vergessen ist auch die „kompromittierende Abstrahlung“. Das sind elektromagnetische Wellen, die von jeder Art von elektrischen Geräten ausgehen. Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) dazu ausführt, „kann diese Strahlung auch die gerade verarbeiteten Informationen mit sich führen“. Ein Angreifer, der sich beispielsweise in einem Nachbarhaus oder in einem in der Nähe abgestellten Fahrzeug befindet, könne versuchen, diese Abstrahlung zu empfangen und daraus die verarbeiteten Informationen zu rekonstruieren.

Bärmichl rät deshalb, die entnetzten PCs niemals vor Fensterfronten aufzustellen und die kompromittierende Abstrahlung erforderlichenfalls durch abschirmende Materialien wie zum Beispiel Aluminium zu verhindern.