Interview: "Wir fühlen uns zu sicher"

Helmut Leopold
Helmut Leopold

Helmut Leopold (54) ist Head of Center for Digital Safety & Security am Austrian Institute of Technology (AIT) und warnt vor fehlendem Bewusstsein für die Bedrohungen im Cyberspace.

 

Wie sicher ist unsere kritische Infrastruktur?

Wir fühlen uns aus der Erfahrung der vergangenen 20 Jahre viel zu sicher, aber wir werden angreifbarer, je weiter die Digitalisierung voranschreitet. Neue Angriffsszenarien sind entstanden, sie sind professioneller, ausgeklügelter und automatisierter – und das Gefährlichste: Cyberkriminalität ist inzwischen kommerzialisiert; daher werden Services angeboten, die es auch Laien ermöglichen, einfach Schwachstellen in IT-Systemen zu finden und auszunützen. Die Bedrohung für kritische Infrastruktur geht inzwischen von organisierten und finanzkräftigen Strukturen aus. Dazu kommt, dass die Technik allein an ihre Grenzen stößt, wenn menschliches Verhalten und kriminelle Energie dazukommen.

Wer ist besonders von Cyberattacken betroffen?

Grundsätzlich kann alles und jeder von einer Cyberattacke betroffen sein: der Konsument genauso wie Unternehmen aus den Branchen Automotive, Energie oder Telekom. Betroffen sind sowohl kleine und mittlere Unternehmen als auch große Konzerne. Die Täter profitieren von der hohen Vernetzung der Systeme und der globalen Dimension im Internet, die Anonymität ermöglicht und eine Verfolgbarkeit erschwert. Am besten wappnen sich Unternehmer, indem sie Cybersecurity zur Chefsache machen und nicht nur im eigentlichen IT-Bereich alle Prozesse vom Design der IT-Systeme über die Systementwicklung bis hin zum Betrieb entsprechend anpassen, sondern auch die bis jetzt noch nicht von Digitalisierung und Vernetzung betroffenen Systemteile miteinbeziehen. Diese Verschränkung der herkömmlichen Technikwelt mit der Digitalisierung und der globalen Vernetzung stellt uns vor sehr große Herausforderungen. Auch klare Verhaltensregeln und Standards helfen wesentlich dabei, das Risiko zu senken. Der Anfang einer Lösung könnte beispielsweise in Zutrittskontrollen und einem wirksamen Passwortschutz liegen.

Wie kann eine nachhaltige Lösungsstrategie aussehen?

Grundsätzlich fängt jede effektive Lösung mit einer Bedrohungsanalyse und einem Risikomanagement an. Industriebereiche – aber auch jedes einzelne Unternehmen – müssen sich über ihre Bedrohungslage klar werden und dann in einem Risikomanagementansatz die Lösungsstrategie festlegen. Technische Maßnahmen sind dabei genauso wichtig wie Prozessfestlegungen über den Umgang mit Systemen und Daten. Vor allem gut ausgebildete Mitarbeiter mit hohem Sicherheitsbewusstsein stellen eine gute Grundlage für einen hohen Schutz dar. Weiters ist eine nationale Cyberstrategie erforderlich, um für komplexe Bedrohungslagen gerüstet zu sein. Technologiehersteller, Systemintegratoren, Netzbetreiber, Serviceanbieter, Industrie und Institutionen der öffentlichen Hand müssen an einem Tisch sitzen und Strategien ausarbeiten. Unabdingbar ist eine neue Art der Kollaboration in Sachen IT-Security, um den globalen Bedrohungen wirksam entgegenzutreten.

Woran erkennt man einen gefährlichen Angriff?

Ein Virenschutzprogramm erkennt heute schon rund 400 Millionen verschiedene Malware-Signaturen, täglich kommen tausende neue hinzu. Das Problem für klassische Virenschutzsoftware und Firewall-Schutzmechanismen sind die komplexeren und schädlicheren Cyberattacken, die sich oft über mehrere Monate hinziehen, an mehreren Stellen angreifen, um das Ausmaß des Gesamtangriffs zu verschleiern. So erscheinen kleine, einzelne Attacken unwichtig, obwohl sie ein wichtiger Bestandteil einer übergreifenden, komplexen und höchst gefährlichen Angriffsstrategie sind – mit solchen ausgefeilten Ansätzen kann in jedes IT-System eingebrochen werden. Die Forschung bezeichnet diese Art von strategischen Angriffen als sogenannte „Advanced Persistent Threats“.

Warum setzten sich Security-Produkte noch nicht in dem Ausmaß durch, wie es notwendig wäre?

Sicherheit steht immer Benutzerfreundlichkeit entgegen. Aus diesem Grund ist Sicherheit relativ, denn das System muss zugleich für Nutzer einfach bedienbar sein. Wenn ein zu geringes Bewusstsein des Bedrohungspotenzials und der möglichen Konsequenzen von Cyberattacken vorhanden ist, werden die Kunden einen höheren Aufwand in der Bedienung oder höhere Kosten nicht akzeptieren. Zusätzlich ist fehlende Sicherheit eine sehr schwer greifbare Problematik. Deshalb ist das Schaffen von Bewusstsein und ein Zusammenarbeiten aller Stakeholder zur Schaffung umfassender Schutzkonzepte eine unbedingte Notwendigkeit. Nur so können wir reüssieren.

Mag. Andreas Knapp

+43/1/588 39-86
+43/1/586 69 71