Cybersecurity
Die unsichtbare Armee
Für kriminelle Hacker ist die Welt ein Paradies geworden: Seit Software allgegenwärtig ist – in Medizinprodukten, Autos, Heizungsanlagen und Industriehallen –, können sie immer raffinierter zuschlagen. Forscher arbeiten daran, dass der Vorsprung der Datenabgreifer schmilzt.
Versetzen wir uns für einen Moment in den Kopf eines böswilligen Hackers: In den Computer seines Opfers will er vordringen, um zu schauen, was er an Daten absaugen kann und ob er über die Kontodaten nicht vielleicht auch an Geld herankommt. Er sitzt irgendwo in der Welt und ist nur über das Internet mit seinem Opfer verbunden.
Um voranzukommen, sucht er nach Einfallstoren. "Statistisch gesehen", sagt Thorsten Holz, Professor der Fakultät für Elektrotechnik und Informationstechnik an der Ruhr-Universität Bochum, „findet sich alle 20.000 Codezeilen ein Programmierfehler.“ Was der arglose Computernutzer nicht weiß: Allein schon, wenn er eine Webseite aufruft, sind mehr als 100 Millionen solcher Codezeilen nötig, damit Betriebssystem, Browser, grafische Nutzeroberfläche und Softwarebibliotheken zusammenarbeiten.
Rein rechnerisch öffnen sich dem Hacker damit allein beim Laden einer Webseite gut 2.000 Einfallstore in Form von Programmierfehlern. "Bugs" nennen Fachleute solche Fehler, und natürlich lässt sich nicht jeder dieser Bugs so missbrauchen, dass der Angreifer anschließend die Kontrolle über Computer, Smartphone oder Server seines Opfers hat – aber eine einzige schwerwiegende Lücke reicht schon aus.
Bei solchen Hackerangriffen geht es allerdings nicht nur um Geld oder geheime Daten
Im schlimmsten Fall kann es Menschenleben betreffen. Etwa dann, wenn die Software von selbstfahrenden Autos anfällig ist oder Angreifer die Komponenten manipulieren können, mit denen Kraftwerke, Stromnetze oder Wasserleitungen gesteuert werden. Angriffe auf Industrieanlagen wie Ölraffinerien in Saudi-Arabien oder einen Hochofen in Deutschland sind bereits akten-kundig.
"Software is eating the world", sagte einmal der Internetpionier Marc Andreessen: Nichts mehr, so macht dieser Satz deutlich, funktioniert in modernen Gesellschaften ohne Software. Aber Anwendungen und Betriebssysteme sind von Menschen programmiert – und Menschen machen Fehler.
Unerhört leicht machen es Entwickler den kriminellen Hackern, wenn sie ihre Produkte so nachlässig erstellen, wie es derzeit rund ums Internet der Dinge (Internet of Things, IoT) zu beobachten ist, zu dem sowohl gesamte Produktionsanlagen als auch Heizungsthermostate und Webcams in Privathaushalten gehören: "Bei besonders günstigen Produkten ist kein Hersteller bereit, für Sicherheit Geld auszugeben", sagt Jörn Müller-Quade, Sprecher des Kompetenzzentrums KASTEL am Karlsruher Institut für Technologie (KIT): "Solange es keine Anreize gibt und es der Kunde eh nicht merkt, wird nicht sicher entwickelt. Zumal sich Lücken ja vermeintlich bequem per Update beheben lassen."
"Von Computern erzeugter Programmcode ist sicherer als der, den der Mensch schreibt."
Um beim Wettrennen mit böswilligen Hackern nicht ins Hintertreffen zu geraten, bedienen sich verantwortungsbewusste Entwickler derzeit zweier Strategien: Entweder versuchen sie, Schwachstellen zu vermeiden – "beispielsweise durch Code-Analysen während des Entwicklungsprozesses", so der Bochumer Forscher Thorsten Holz.
Angesichts der Komplexität moderner Softwaresysteme ist das jedoch ein schwieriges Unterfangen. Abhilfe schaffen könnten Computer, wie Jörn Müller-Quade erklärt: "Von Computern erzeugter Programmcode ist sicherer als der, den der Mensch schreibt. Ein passendes Tool dafür zu entwickeln ist zwar teuer, kann sich aber rechnen, wenn sich damit verschiedenste Softwaresysteme programmieren lassen."
Die zweite Schule ist der reaktive Ansatz, also das Aufspüren von Schwachstellen in bestehenden Systemen. Beim sogenannten Fuzzing bombardieren wohlmeinende Angreifer die Software mit zufälligen Eingaben, versuchen sie damit zum Absturz zu bringen und so neue Bugs zu entdecken. "Der reaktive Ansatz ist derzeit der beste Weg, um die Qualität existierender Software zu verbessern", sagt Thorsten Holz. Die Hilfe solcher wohlgesonnener Hacker, die entweder gratis oder auch gegen Bezahlung arbeiten, sei deshalb nicht zu unterschätzen.
"Statistisch gesehen findet sich alle 20.000 Codezeilen ein Programmierfehler."
Für mehr Sicherheit im Internet der Dinge sorgen auch Schutzmechanismen, die in den vergangenen zwei Jahrzehnten entwickelt worden sind – Technologien mit komplizierten Namen wie Secure Boot (verhindert die Installation von manipulierter Software), Zugriffssteuerung oder Secure Development Lifecycles (strukturierter Prozess zum Schreiben sicherer Software).
Eine weitere Erfolgsmeldung aus dem Fachgebiet Cybersicherheit: Experten wie Thorsten Holz und Jörn Müller-Quade sind sich einig, dass sich die Qualität des Codes zumindest bei den klassischen Softwareherstellern wie Microsoft, Apple, Google oder Adobe in den vergangenen Jahren spürbar verbessert hat.
Was sich zum einen an den Summen ablesen lässt, die Graumarkthändler für Angriffe auf die Produkte dieser Hersteller bieten: Bis zu drei Millionen US-Dollar beispielsweise bekommen die Zulieferer – Sicherheitsexperten aus aller Welt – für eine Attacke auf Apples iOS-Betriebssystem. Zum anderen zeigt es sich auch an öffentlichen Hacker-Wettbewerben: Früher waren es Einzelkämpfer, die Geldprämien gewonnen haben, weil sie in einen Windows-PC oder ein Android-Smartphone eingedrungen sind; heute treten Teams mit zehn und mehr Mitgliedern an, weil es deutlich komplizierter geworden ist, überhaupt noch geeignete Einfallstore zu finden.
Das Paradebeispiel für grundlegende Problemlösungen innerhalb der IT-Sicherheit ist für Jörn Müller-Quade die Kryptografie. Sie kann zwar keine Programmierfehler verhindern, aber eine ganze Klasse von Angriffen unterbinden und ist damit Teil des Cybersicherheits-Fundaments. Ein Beispiel: Wenn Angreifer Daten mitschneiden, die von einem Computer aus übertragen werden, lassen sie sich so verschlüsseln, dass sie keinen Aufschluss über den Klartext zulassen. Damit lässt sich also die gesamte Klasse „Lauschangriff“ auskontern. Würde man dieses Prinzip flächendeckend auf andere Problembereiche anwenden, hätten es Angreifer erheblich schwerer.
Für Müller-Quade ist die Kryptografie weitaus mehr als nur die Verschlüsselung von Datentransfers oder Nachrichten. Sie kann beispielsweise auch die sichere Mehrparteien-berechnung ermöglichen – also das Arbeiten mit Daten, die deren Besitzer nicht preisgeben will. „Nützlich wäre dieses kleine, durch Kryptografie mögliche Wunder beispielsweise bei automatisierten Preisverhandlungen, bei denen weder Verkäufer noch Käufer ihre jeweiligen preislichen Schmerzgrenzen verraten wollen“, so Müller-Quade.
Die Software übernimmt bei diesem Vorgehen quasi die Verhandlung, ohne dass die Beteiligten ihre Betriebsgeheimnisse wie Herstellungskosten, Marge oder Preise anderer Anbieter verraten müssen. Ein weiteres Einsatzgebiet könnte der Energiemarkt sein, in dem es bei Produktionsspitzen zu bestimmen gilt, welcher Produzent liefern darf und welcher abschalten muss. Hier müssten die Kraftwerks-betreiber nicht offenlegen, wie groß ihre Über-produktion ist, damit sie eine stärkere Verhandlungsposition behalten können.
Im Moment sind die notwendigen Verfahren aber noch weit entfernt von der Praxistauglichkeit: Die verteilten Berechnungen dauern um ein Vielfaches länger als eine zentral abgewickelte Berechnung. Müller-Quade ist sich aber sicher, dass seine Zunft in den nächsten Jahren eine praktikable Lösung entwickeln kann.
Angreifer kommen aber nicht nur über Softwareschwachstellen in fremde Computersysteme
Sie nutzen auch die Schwachstelle Mensch aus – „Social Engineering“ nennen das Experten. Eines der gängigsten Mittel hierzu sind nach wie vor gezielt verschickte E-Mails, sogenannte Spear-Phishing-Mails. Die Adressaten bekommen dabei Mails, die perfekt auf sie zugeschnitten sind und somit vertrauenswürdig erscheinen. Die gängigste Spear-Phishing-Masche lockt die Opfer auf Phishing-Seiten, die Nutzernamen und Passwörter abgreifen. Laut dem Internet Security Threat Report 2018 des Sicherheitsanbieters Symantec waren Phishing-Mails in 71 Prozent aller erfolgreichen Angriffe das Einbruchswerkzeug.
Und dem Dienstleistungsunternehmen Verizon Business zufolge, das Angriffe aus der ganzen Welt aufgearbeitet hat, waren in 635 von 1.800 Fällen geklaute Anmeldedaten für den Erfolg der Hacker verantwortlich. Datendiebe müssen sich also gar nicht mit Firewall & Co. herumschlagen, wenn ihnen die Betroffenen die Zugangsdaten frei Haus liefern. Auch die erwähnte Attacke auf den Hochofen im Ruhrgebiet begann mit Spear-Phishing.
"Die Nutzer müssen verstehen, dass sie Teil der Lösung sind. Andernfalls werden sie Teil des Problems", sagt Melanie Volkamer vom KIT.
Organisationen, die ihre Mitarbeiter für Cybersicherheitsthemen sensibilisieren, dürfen aber nicht zu kurz springen: "Eine Schulung zur Passwortsicherheit verpufft, wenn nicht gleichzeitig eine Software zum Passwortmanagement bereitgestellt wird", so Volkamer. Denn ohne ein solches Tool kann das Erlernte nicht in der Praxis angewandt werden.
Volkamer sieht aber noch "Luft nach oben" in Sachen Nutzerfreundlichkeit. Zwar habe beispielsweise Software zur Verschlüsselung von E-Mails Fortschritte gemacht. "Großen Nachholbedarf gibt es aber bei Dialogen in Software, die auf Sicherheitsprobleme hinweist", sagt Melanie Volkamer. Laien verstehen diese Sicherheitsprobleme oft nicht und können nicht einschätzen, wie groß das dahinter stehende Risiko ist, wenn sie die Meldung mit der Maus einfach wegklicken. Daher wünscht sich Volkamer, dass die weltweite IT-Sicherheitsgemeinde dieses Problem gemeinsam angeht, um hilfreichere Hinweise und Dialoge zu entwickeln.
Das beherrschende Thema der kommenden Jahre dürfte das Absichern von künstlicher Intelligenz (KI) werden, darüber besteht unter den Experten Einigkeit. Am Institut von Thorsten Holz befassen sich Doktoranden beispielsweise damit, die zur Spracherkennung in Produkten wie Amazons Alexa verwendeten neuronalen Netze auszutricksen: So könnte eine uns Menschen als banal erscheinende und in einer Sound-Datei gespeicherte Frage (zum Beispiel "Wie ist das Wetter in Hamburg?") so manipuliert werden, dass die sprachgesteuerte Assistentin die Alarmanlage ausschaltet. Aus den Erkenntnissen der Bochumer Doktoranden lassen sich dann Abwehrmaßnahmen konstruieren. "Bevor KI-Software in kritischen Systemen landen darf, muss noch viel passieren", resümiert Holz. Er geht aber davon aus, dass die notwendigen Durchbrüche machbar sind.
Einen dieser Durchbrüche könnte das KIT beisteuern: Dort will man ein System entwickeln, das verschiedene Lösungsansätze zur Datensicherheit vergleichen kann. "Eine solche Bewertung hat enorme Relevanz für Wirtschaft und Gesellschaft", glaubt Jörn Müller-Quade. Schließlich geht es um nichts weniger, als die Welt davor zu bewahren, doch noch von Software verschlungen zu werden, wie es einst der Internetpionier Marc Andreessen formulierte.
Resonator - Wissenschaftspodcast mit Holger Klein
Was passiert mit unseren Daten beim Einsatz von Bonuskarten? Was ist erlaubt und was ist nicht erlaubt? Und wie kann man den Kunden schützen? Um neue Modelle für verschlüsselte Bonuskarten geht es in Folge 127 des Resonator-Podcasts.
Leser:innenkommentare