Im Vergleich mit den meisten anderen Straftaten sind solche, die im oder über das Internet durchgeführt werden, immer noch vergleichsweise „neu“. Daraus resultieren auch so manche Irrtümer, die sich erstaunlich hartnäckig halten. Business as usual? Einmal mehr wurde es offiziell gemacht: Cyberkriminalität ist vielschichtig und enorm wandlungsfähig. Das geht aus dem auch breitenmedial vielzitierten Bericht des Verbands der Technischen Überwachungs-Vereine (VdTÜV) hervor. Knapp 15 Prozent aller befragten Unternehmen gaben an, im vergangenen Jahr IT-thematische Sicherheitsvorfälle erlebt zu haben. Bei mehr als einem Viertel aller Firmen gab es Phishing-Versuche, knapp 20 Prozent erlebten Ransomware-Attacken. Nicht zuletzt diese Studie beweist erneut, dass Cyberkriminalität eines der drängendsten Probleme unserer Zeit ist. Dies nicht zuletzt deshalb, weil es einige kursierende Ansichten bzw. Meinungen darüber gibt, die oft viel zu stark verallgemeinern, teils aber auch schlicht falsch sind und somit für trügerische Sicherheit, überzogene Panik, aber auch falsche Reaktionen und Fehleinschätzungen sorgen. Dieser Artikel nennt die bedeutsamsten dieser Irrtümer und beleuchtet ihre Hintergründe – auch um Sicherheitsexperten tiefer zu vermitteln, was unter Umständen in den Köpfen ihrer Auftraggeber vorgeht. Hundertprozentige Sicherheit ist machbar Hintergrund Es gibt allein in Deutschland hunderte Firmen, die sich mit IT-Sicherheit befassen. Hinzu kommt eine unüberschaubare Fülle Flut an Programmen, Tools und Hardware. Ein Großteil nimmt für sich in Anspruch, Kunden höchste Sicherheit zu bieten. Sei es durch ihre dedizierte Funktion, sei es durch ständige Updates oder auch sehr intensive Schulungen von Laien durch Fachpersonal. Vor allem unter Laien entsteht deshalb häufig die Ansicht, dass es tatsächlich möglich sei, ein Unternehmen, ein System oder auch einzelne Digitalkomponenten absolut sicher zu machen; das heißt immun gegen jegliche Art von Angriff. Ein typischer Fall von zu großem Vertrauen in bzw. Fehlinterpretieren von Werbeaussagen und Expertenversprechen. Realität Tatsächlich steht hinter ausnahmslos jeder Technik eine allgemeingültige Sicherheitsregel: „Hundertprozentige Sicherheit kann niemals gewährleistet werden. Es verbleibt selbst im sichersten System immer und unabwendbar ein Restrisiko.“ In der IT ist höchste Sicherheit immer ein Kampf gegen die Zeit: Kriminelle erdenken ein neues Verfahren, entdecken eine Lücke – Sicherheitsexperten ersinnen neue Prozesse, schließen die Einfallstore. Aber es ist vielfach nur ein Reagieren möglich. Natürlich lässt sich hohe Sicherheit bewerkstelligen, auch höchste Sicherheit – das erkennen selbst Laien an der Häufigkeit von Updates ihrer Anti-Viren-Software. Doch selbst wenn man einen heruntergefahrenen Rechner ohne Netz- und sonstige Verbindungen in einem Safe einschließen würde, gäbe es noch realistische Chancen, dass Kriminelle darauf eine Schadsoftware einschleusen – denn im Zweifelsfall müssen immer noch die Faktoren Mensch und Zeit betrachtet werden. Selbst die NSA wurde bereits Opfer von erfolgreichen Cyberangriffen. Wenn also selbst eine solche Behörde sich nicht vollumfänglich schützen kann, sollte das ein überdeutliches Signal sein. Je neuer, desto sicherer Hintergrund Ein Unternehmen schafft neue Computer an, ein privater Verbraucher bekommt auf seinem Handy ein umfassendes Update des Betriebssystems – ganz gleich um welche Sparte von IT es sich handelt, damit einher geht häufig der Glaube, nun wesentlich sicherer aufgestellt zu sein. Im Zweifelsfall deshalb, weil man der Ansicht ist, dass in neuen Produkten zumindest alte Sicherheitslücken beseitigt seien. Realität Die Realität zeigt sich dagegen ein gutes Stück differenzierter. Fest steht natürlich, dass neue Komponenten häufig ein gewisses Sicherheitsplus mit sich bringen. Daraus aber eine allgemeingültige Regel abzuleiten, wäre falsch. Ähnlich wie bei neuen Automodellen oder Neuerscheinungen in der Unterhaltungselektronik muss auch im IT-Bereich eine neue Serie häufig mit neuen Herausforderungen kämpfen und manche Probleme werden dann erst mit der zweiten Generation gelöst. Gerade heute, wo selbst simple Anwendungen oft auf abertausenden Codezeilen basieren, von komplexeren Softwareprodukten oder gar Betriebssystemen ganz zu schweigen. Zudem kann man auch wegen dieser Komplexität nicht darauf vertrauen, dass automatisch zumindest alle bekannten Schwachstellen des vorherigen Produkts beseitigt wurden – hier spielt auch Wirtschaftlichkeit eine Rolle. Bisweilen wird gerade das Alter von Systemen als gewisser Vorteil für eine höhere Sicherheit genutzt. So wurde jüngst berichtet, dass das amerikanische Militär für bestimmte Bereiche seines Kommandosystems für Atomwaffen noch auf sehr alte Komponenten setzt. Erst in diesem Jahr (2019) wurden bei den Steuerungscodes die bis dahin seit den 1970ern verwendeten 8-Zoll-Floppy-Disketten und IBM Series/1 Computer durch Solid-State-Technik ersetzt. Grund für die lange Nutzung war ausschließlich die enorme Sicherheit, die durch Abwesenheit von Netzwerkverbindungen und die überaus simple und überschaubare Technik gegeben war. Es stecken immer Hacker dahinter Hintergrund Die Vorstellung vieler Menschen über Cyberkriminalität wird zu einem guten Teil medial geprägt – und da lebt nicht zuletzt Hollywood seit den 1980ern das Klischee von „dem Hacker“. Gewandelt hat sich daran bis heute nicht wirklich viel: In der Regel ist es ein nerdiger Charakter, oft allein oder in sehr kleinen Gruppen handelnd. Sofern er nicht gerade in geheimdienstlichem Auftrag handelt, macht er es meist zum Vergnügen oder aus einer gewissen Robin-Hood-Mentalität heraus. Realität Wer sich regelmäßig über aktuelle Nachrichten informiert, weiß auch ohne tiefergehenden IT-Hintergrund spätestens seit den Leaks um die US-Wahlen, dass dieses Klischee nicht immer zutrifft. Umfangreiche Dossiers zeichnen ein weitaus differenzierteres Bild und unterscheiden ähnlich wie Behörden vier konkrete Tätergruppen: Der klassische private Hacker, der Sicherheitslücken aufzeigt bzw. sich durch seine Fähigkeiten unter Gleichgesinnten einen Namen machen will. Politische Gruppen, die durch Eindringen in Systeme politisch motivierte Ziele verfolgen – das passierte etwa 2016, als Mitgliederdaten der AfD geleakt wurden. Kriminelle Gruppierungen, die es auf vertrauliches Wissen abgesehen haben (meist im Umfeld der Wirtschaftsspionage) und/oder schlicht monetäre Ziele verfolgen (privat wie unternehmerisch). Staatliche Akteure, namentlich Geheimdienste, die ebenfalls politische Ziele verfolgen und dazu diverse Vorgehensweisen zwischen Überwachung und Datendiebstahl praktizieren. Schon vor Jahren wurde klar, dass unter anderem Großbritannien und die USA mit PRISM und Tempora dabei sehr skrupellos vorgehen. Dabei sollte auch nicht vergessen werden, dass es selbst in der Szene weitere Abstufungen der handelnden Akteure gibt und der Hacker-Begriff als viel zu verallgemeinernd verpönt ist. Damit sollte klar sein, dass „der Hacker“ nicht existiert – dahinter stehen immer unzählige Beweggründe, Vorgehensweisen und ein unglaublich heterogenes Feld von Personen. Alte Vorgehensweisen funktionieren nicht mehr Hintergrund Der Kampf gegen Cyberkriminalität ist ein Bereich, das einem beständigen Wandel unterliegt. Fortentwicklung ist hier nicht nur ein Beiprodukt, sondern zentraler Kern des Gesamten – sowohl was die Vorgehensweisen bei Angriffen als auch beim Schutz dagegen anbelangt. Darauf basiert der verbreitete Glaube, dass Exploits, die einmal aufgedeckt wurden, ihrer Wirkung beraubt seien. Dass also für den Hacker ein ständiger Wandlungsdruck bestünde. Auch das ist überzogen. Realität Die Geschichte der Cyberkriminalität zeugt davon, dass Altes und Neues sehr wohl effektiv nebeneinander bestehen kann. Mehr noch, dass ein Trickle-Down-Effekt besteht. Denn dass eine Schwachstelle aufgedeckt wurde, bedeutet längst nicht zwingend, dass sie sofort und für alle geschlossen wird. Oft kann dies schon aus strategischen Gründen gegeben sein: Sicherheitsexperten eines Staates entdecken etwa, dass Kriminelle eine neue Vorgehensweise verfolgen. Sie machen dies jedoch nicht großflächig publik, denn das würde gegebenenfalls dafür sorgen, dass besagte Kriminelle sofort nach neuen Wegen zu suchen beginnen. Gerade bei jenen Tricks, die nicht durch Software-Updates vermieden werden können, sondern auf menschlichem Wohlverhalten basieren, kann es sogar viele Jahre dauern, bis sie wirkungslos werden. Der CEO-Fraud etwa, wird allein in Deutschland seit mindestens dem Beginn der 2010er angewandt und ist breit bekannt; dennoch fallen auch heute alljährlich Menschen ebenso darauf herein wie auf simple Phishing-Mails. Alte Tricks funktionieren deshalb so gut – sei es, weil sie für eine bestimmte Personengruppe gar nicht alt sind oder auch, weil sie so alt sind, dass sie eine neue Generation von Sicherheitsexperten gar nicht im Fokus ihrer Bemühungen hat, weil diese sich auf tatsächlich aktuellere Vorgehensweisen abzielen. Große Unternehmen sind die besten Angriffsziele Hintergrund „Think Big“. Das ist nicht nur ein Credo von Entrepreneuren, dies wird auch den Akteuren der Cyberkriminalität immer wieder attestiert. Hier herrscht der Glaube vor, dass die Größe eines Unternehmens gleichbedeutend mit seinem Potenzial sei, erfolgreich attackiert werden zu können. Nicht ganz unschuldig daran ist die mediale Berichterstattung. Immer wieder prominent darin ist die Industrie mit bekannten Namen großer Konzerne. Realität Tatsächlich ist diese These nicht nur überzogen, sondern unhaltbar. Denn je größer ein Unternehmen, desto: größer seine Awareness für die eigene Prominenz, tiefergehend das Verständnis der Entscheider für (digitale) Sicherheit, größer die Budgets, die dafür freigemacht werden (können), umfangreicher, professioneller und informierter die IT-Abteilungen. Tatsache ist, dass die Unternehmensgröße umgekehrt proportional zur Angriffs-Erfolgswahrscheinlichkeit steht – wo in einem gigantischen Industriebetrieb selbst eine aufwändig vorbereitete Attacke durch geschultes Personal und aufmerksame IT-Security häufig vereitelt wird, sind es vor allem KMUs, bei denen auch viel simplere Angriffe funktionieren: Dort, wo die IT-Abteilung vielfach aus nur einem Mitarbeiter besteht, der die Technik neben seiner eigentlichen Funktion betreut. Mit Tools, Personal und Software lässt sich jede Lücke schließen Hintergrund Direkt verbunden mit dem zuvor genannten Irrtum ist zudem ein Weiterer: Ein Glaube, der sich am besten folgendermaßen zusammenfassen lässt: „Wenn man nur genügend Geld in die Lösung eines Problems investiert, lässt sich dieses auch lösen“. Realität Bis zu einem gewissen Punkt stimmt diese Ansicht. Zwar hat sich die Anzahl der jährlichen Cyberangriffe pro Unternehmen allein von 2017 bis -18 statistisch verdoppelt. Jedoch stiegen die erfolgreichen Angriffe nicht in einem ähnlichen Maße – was natürlich auch auf vergrößerte Sicherheitsbudgets und die Aufstockung von Personal zurückzuführen ist. Doch gerade, wenn man den Faktor Mensch mit einbezieht, der sowohl hinter dem Programmieren von Angriffs- und Verteidigungstools steht oder in einer Position arbeitet, die ihn nicht täglich mit aktuellem Wissen zu Cybersecurity versorgt, sieht es anders aus. Dann können und werden immer wieder selbst größte Firmen und Behörden (siehe die erwähnte NSA-Attacke) Opfer von Cyberkriminalität. Es braucht im Zweifelsfall nur einen frustrierten Mitarbeiter, der sein Insiderwissen ausnutzt, um einen Schaden zu verursachen – je nach Land resultieren sogar rund 80 Prozent (USA) aller Bedrohungen aus dem eigenen Mitarbeiterkreis. Dies zeigt erneut: Absoluter Schutz ist unmöglich. Cyberkriminelle gehören nicht zur Elite ihres Fachs Hintergrund Abermals hat Hollywood einen großen Teil dazu beigetragen, das Massenbild über Cyber-Straftäter in eine Richtung zu lenken. Denn der nerdige Jugendliche, der gescheiterte Mitarbeiter, der übergelaufene Spion haben immer eines gemeinsam: Sie werden häufig als weniger fähig dargestellt. Das müssen sie sein – schon, weil sie meist als Gegenspieler zum Film- bzw. Serienhelden positioniert sind und natürlich von diesem besiegt werden müssen. Ebenfalls einen Einfluss auf die Wahrnehmung von Cyberkriminellen hat die Wortwahl bei der medialen Berichterstattung: Trollarmee Putin-Bots Spaßguerilla Bunker-Bande (in einer Meldung zum jüngst stillgelegten Rheinland-Pfälzischen Darknet-Rechenzentrum) Chinesische Hacker-Sklaven Solche Bezeichnungen erwecken nicht nur bei Laien den starken Eindruck, dass es sich beim Großteil aller Cyberkriminellen um Stümper handele. Wären sie Top-Leute, wären sie ja aufseiten der Guten. Realität Abermals muss unterstrichen werden, wie heterogen die Szene ist. Selbst wenn man den Fokus nur auf monetäre Straftaten richtet, muss klar sein, dass sich dahinter auch sehr viele Vollprofis ihres Schaffens verbergen. Allein deshalb, weil Cyberkriminalität eine immerwährende und schwierige Suche nach neuen Schwachstellen bedeutet. Dafür sind Fachleute notwendig, die jederzeit auf dem neuesten Stand sind, die unkonventionell denken und sehr schnell reagieren können. Natürlich gibt es auf beiden Seiten auch weniger fähige Leute. Ebenso finden sich dort jedoch die brillantesten Köpfe ihres Standes. Eine bestimmte Vorgehensweise wird an derselben Stelle nicht nochmals wiederholt Hintergrund Der Schaden ist da oder wurde durch die installierten Sicherheitsschranken abgewendet. Für nicht wenige Laien ist dies ungeachtet des Ausgangs auch ein kleiner Grund zur Freude: Denn nachdem sich die Hacker Zugang verschaffen konnten, die Lücke aber geschlossen wurde oder sie aber gleich scheiterten, wird das Risiko für erneute Angriffe signifikant niedriger sein – so der Glaube. Realität Tatsächlich könne man denken, dass viele Laien sich Cyberkriminelle wie herumreisende Einbrecherbanden vorstellen: Haben sie ein Objekt leergeräumt oder sind daran gescheitert, probieren sie es beim nächsten Haus. Allerdings: Wo es einmal etwas zu holen gab, einmal eine Attacke funktionierte, kann man davon ausgehen, dass auch noch weitere Lücken existieren – und selbst wo ein Angreifer scheiterte, wird sich meistens jemand finden, der es nochmals versucht. Trennung von Privat- und Firmennutzung erhöht die Sicherheit Hintergrund Manche Leser werden vielleicht noch mahnende Eltern oder Lehrer im Hinterkopf haben, die der felsenfesten Ansicht waren, dass vorwiegend Spiele-Disketten oder –CDs für Probleme bei einem Computer verantwortlich wären. Tatsächlich gibt es nach wie vor ähnliche Denkmuster, selbst in Konzernen, wo man es eigentlich besser wissen müsste. Allerdings geht es jetzt nicht mehr um Spiele, sondern um die Privatnutzung von Firmen-Hardware, konkret im Internet. Häufig wird hier die Ansicht vertreten, dass eine derartige Nutzung ein großes Einfallstor für Kriminelle sei, wodurch die Sicherheit des ganzen Systems kompromittiert würde. Realität Tatsächlich sieht es anders aus: Die allermeisten Privatnutzungen finden fern von Seiten statt, auf denen ernsthafte Bedrohungen entstehen könnten. Privat surfende Mitarbeiter lesen Nachrichten, checken ihr Facebook-Account oder sehen sich auf Instagram und Co. um. Eine weitaus realistischere Bedrohung, die entstehen kann, bezieht sich auf private E-Mails, mittels derer Schadsoftware ins System gelangen könnte – was sich natürlich schon dadurch abstellen lässt, dass im Unternehmensnetzwerk typische Mailhost-Seiten auf eine Blacklist kommen. Nimmt man die erwähnten frustrierten Mitarbeiter aus der Gleichung, erfolgen die allermeisten Attacken zielgerichtet und maßgeschneidert auf ein Unternehmen – dagegen sind die Fälle, in denen durch privates Surfen quasi nebenher Schadsoftware „eingefangen“ wurde, verschwindend gering. Natürlich kann das Lenken der Privatnutzung Risiken einschränken. Doch sie gänzlich zu verbieten und anzunehmen, dadurch ein gefährliches Tor geschlossen zu haben, wäre reichlich übertrieben. Es gibt Geräte und Betriebssysteme, die keinen Schutz benötigen Hintergrund Wohl jeder IT-Experte dürfte schon einmal gehört haben, dass es Produkte gibt, die keinen Schutz benötigen, weil sie inhärent sicher seien. 2014 etwa verkündete Googles Sicherheitschef Adrian Ludwig, dass Antivirenprogramme auf Android-Systemen „pretty useless“, also ziemlich nutzlos seien – womit er nicht auf deren Wirkungslosigkeit abheben wollte, sondern auf ein nichtvorhandenes Angriffspotenzial. Bis zum heutigen Tage ist auch eine Mehrzahl der Apple-Nutzer der Überzeugung, dass Apple-OS-Produkte ebenso wenig zusätzlichen Schutz bräuchten und verweisen u.a. auf das strenge Sandboxing des App Stores. Bei Open-Source-Software wird zudem häufig kolportiert, dass die große Community schon dafür Sorge tragen würde, dass Sicherheitslücken schnell erkannt und gebannt würden. Realität Tatsache ist, dass es Systeme gibt, die inhärent weniger anfällig für Angriffe sind. Daraus aber abzuleiten, dass diese Systeme generell keinen Schutz bräuchten, ist einfach falsch. Es gilt: „Kein System ist unangreifbar, kein System ist inhärent sicher“ Wenn es digital und mit dem Internet verbunden ist, gibt es für entschlossene Angreifer immer Mittel und Wege. Aus diesem Grund sollte jedes Gerät auch durch Dritt-Tools so sicher gemacht werden, wie es technisch möglich ist. Zusammenfassung und Fazit Ebenso wenig, wie selbst ein Fort Knox verhindern könnte, dass sich kriminelle Genies mit genügend Zeit Zugang zu den dort lagernden Goldvorräten verschaffen könnten, sieht es auch mit der Cyberkriminalität aus: Absolute Sicherheit ist niemals möglich. Gerade die schnellen und ständigen Entwicklungen machen es notwendig, sich permanent um notwendigen Schutz bemühen zu müssen. Teile den Artikel oder unterstütze uns mit einer Spende. Facebook Facebook Twitter Twitter WhatsApp WhatsApp Email E-Mail Newsletter