Ansichten eines Informatikers

SIT und Cybersicherheit

Hadmut
16.6.2022 15:04

Blafasel!

Ein Leser verweist auf ein Interview der Hessenschau mit „Prof. Dr. Haya Shulman“ vom Fraunhofer Institut für Sichere Informationstechnologie (SIT) in Darmstadt, die da zur „Cybersicherheit“ sage:

Wie können wir uns vor solchen Attacken schützen? Wer sind die Angreifer und welche Ziele verfolgen sie?

Prof. Dr. Haya Shulman verantwortet am Fraunhofer Institut für Sichere Informationstechnologie (SIT) in Darmstadt den Forschungsbereich für Netzwerk- und Computersicherheit und ist Mitglied im Direktorium des Forschungszentrums ATHENE. Seit Februar 2022 hat sie außerdem eine Professur am Institut für Informatik an der Frankfurter Johann-Wolfgang-Goethe-Universität inne. Sie glaubt, dass wir mehr für unsere digitale Sicherheit tun müssen.

Frau Shulman, die Cyberattacke auf den IT-Dienstleister Count+Care hat gezeigt, dass die digitale Infrastruktur in Deutschland anfällig ist. Unterschätzen Firmen und Institutionen die Gefahr?

Das Bewusstsein für die Gefahren durch Cyberangriffe ist in Deutschland eigentlich sehr hoch, in der Wirtschaft, aber auch in der Politik. Aber viele Organisationen bleiben hinter dem Stand der Technik zurück. Mit bekannten Verfahren könnten sie einen Großteil der heute bekannten Cyberangriffe abwehren. Dazu kommt, dass wir insgesamt sehr viel mehr in die Vorbereitung für den Notfall und in moderne Ansätze wie “Zero-Trust-Architekturen” investieren müssen. Dahinter steht vereinfacht gesagt das Prinzip, dass man nicht nur das Netzwerk als Ganzes schützt, sondern Benutzer ihre Zugangsberechtigungen für jeden Dienst, jede Anwendung einzeln verifizieren müssen. Eindringlinge können so nicht über einen einzigen Zugang auf das gesamte System zugreifen. […]

Welche Herausforderungen sehen Sie für die Zukunft?

Es ist ganz klar, dass die heute vorwiegend verwendeten Sicherheitsarchitekturen ausgedient haben, ansonsten würden wir nicht eine so dramatische Zunahme an Angriffen sehen. Es gibt aber schon viele sehr interessante und vielversprechende und praxistaugliche Ansätze, etwa “Zero Trust Architekturen”. In den USA wurde beispielsweise gerade im Januar festgesetzt, dass die Bundesverwaltung bis 2024 auf solche modernen Architekturen umsteigen muss. Bei uns diskutiert man noch.

Die größte praktische Herausforderung sehe ich deshalb darin, dass wir als Gesellschaft im Bereich Cybersicherheit sehr viel ambitionierter werden müssen. {…]

Der Leser fragt an, ob ich in dem Artikel irgendeine Nutzinformation finden würde, ich solle ihm Bescheid sagen, wenn ich was fände.

Der einzige Nutzen, den ich darin entdecke, ist, dass es von Nutzen für die Professorin ist, wenn der ÖRR sie erwähnt und erst einmal ihre Professuren auflistet. Professorin für Sicherheit am Darmstädter SIT zu sein, heißt qualitativ übrigens gar nichts. Ich hatte ja schon mal mit so einer zu tun, und die konnte auch nichts und hat korrupterweise alles als Gutachterin gesagt, was man von ihr wollte – ohne das Begutachtsobjekt gesehen zu haben. So läuft das hier auch.

Man muss einfach immer wieder „Zero-Trust-Architekturen“ sagen, das hört sich immer gut an, und sagt so wenig, dass man damit überhaupt kein Risiko eingeht. Einzugehen glaubt.

Das Problem daran ist, dass das so auch nicht stimmt. Denn wenn die Systeme völlig unabhängig voneinander sind, hat man auch wieder das Problem der Karteileichen und der überaufwendigen Aktualisierung.

Richtig ist natürlich schon, dass ein Single-Sign-On das Problem mit sich bringt, dass der Angreifer gleich alles übernehmen kann.

Und richtig ist auch, dass viele Firmen es nicht schaffen (oder wollen), ihre Netze und Funktionen so zu separieren, dass die Kompromittierung einer Funktion nicht gleich auf die aller Unternehmensbereiche durchschlägt. Da habe ich schon katastrophale Dinge erlebt, etwa ein weltweit operierendes Unternehmen, bei dem massig Angriffe von einem infiltrierten PC ausgingen, und sie sie nicht eindämmen konnten, weil sie aufgrund bekloppter Netzwerkarchitektur nicht einmal ingrenzen konnten, ob dieser PC in Europa oder Südamerika steht. Und der hat dann das gesamte, weltweite Firmennetzwerk attackiert. Tagelang. Während in der Abteilung des Chief Information Security Officers nur so Buchhaltertypen saßen, kein einziger mit richtig Ahnung von Technik.

„Zero-Trust“-Architekturen sind eigentlich schon seit 20 Jahren Stand der Sicherheitstechnik, nur nicht unter diesem Begriff. Irgendein Beratergenie hat da nun so einen schönen Begriff geprägt, und schon rennen alle die, die sich als Sicherheitsexperten ausgeben, es aber nicht sind, hinter dem neuen Wunderbegriff hinterher. Und merken nicht, dass ihnen da nur einer längst bekannte Standardpraktiken als neue Entwicklung verkauft.

Und das ist zwar im Prinzip auch alt, aber richtig. Aber auch kein Allheilmittel, es bringt nämlich nicht viel, solange man nicht auch seine Authentifikationsmethoden entsprechend anpasst. Wenn man sich nämlich von Rechner A auf Rechner B anmeldet und ein Passwort oder einen kryptographischen Schlüssel in Software verwendet, oder einen, auf den die Software funktional zugreifen kann, kann das noch so sehr Zero-Trust sein, weil dann Passwort oder Schlüssel oder auch nur der funktionale Zugriff auf Rechner A kompromittiert sind. Und die Sitzung ebenfalls.

Das richtig und effektiv umzusetzen ist gar nicht so einfach, wie sich manche Leute das vorstellen. Vor allem die akademischen Prediger und Buzzwordwerfer.

Aber im Interview ist IT-Sicherheit halt immer leicht.

Und hier verfehlt es auch in gewisser Weise das Thema, weil es um Ransomware geht. Dagegen sind aber (auch) andere Maßnahmen erforderlich. Und an denen fehlt es. Und die deutschen Hochschulschwätzer haben in den letzten 30 Jahren nichts wesentliches beigetragen.