«Es gab zwei wirklich schlimme Fälle»

Sicherheitsexperte Christoph Dornbierer über aktuelle und künftige Risiken der digitalen Welt. Und warum Kontrollen im App Store eine trügerische Sicherheit vermitteln.

«Die App-Stores vermitteln eine trügerische Sicherheit»: Smartphones rücken laut Christoph Dornbierer zunehmend ins Visier der Hacker.

«Die App-Stores vermitteln eine trügerische Sicherheit»: Smartphones rücken laut Christoph Dornbierer zunehmend ins Visier der Hacker. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Herr Dornbierer, Sie beschäftigen sich täglich mit IT-Sicherheit. Schlafen Sie heute besser als vor einem Jahr?
Ich werde derzeit eher von meiner neugeborenen Tochter vom Schlaf abgehalten als von Security-Fragen. Die Bedrohungslage in der IT hat sich nicht wesentlich verändert. Die Angriffsmuster sind dieselben, das Volumen hat zugenommen.

Es heisst, es wurden noch nie so erfolgreich Lücken ausgenutzt und so viele Daten gestohlen wie 2011.
Es gab ein paar prominente Opfer, etwa Sonys Playstation Network oder Security-Firmen selbst. Letztlich spielt aber weniger die Menge der Angriffe eine Rolle als deren Qualität. Leider sind die Hürden bei vielen Firmen viel zu tief. Es werden Lücken ausgenützt, die längst gestopft sein müssten.

Woran fehlt es? An Fachwissen, am Bewusstsein oder am Budget?
Es ist ein komplexes Thema. Und es gibt, wie überall, einen gewissen Spardruck. Wenn man die derzeitigen Prognosen anschaut, soll allerdings wieder mehr investiert werden.

Es besteht also Nachholbedarf?
Ja, gerade wegen der prominenten Fälle. IT-Security zu verkaufen, ist nicht ganz einfach. Es ist wie mit einer Versicherung: Solange nichts passiert, wird es als «rausgeworfenes Geld» betrachtet.

Was war aus Ihrer Sicht der schlimmste Fall 2011?
Es gab zwei wirklich schlimme Fälle. Bei beiden waren nicht nur die direkt betroffenen Firmen, sondern schlagartig auch ihre Kundschaft, also diverse weitere Unternehmen, betroffen. Das war einerseits bei RSA der Fall, einem weit verbreiteten Verfahren zur Authentifizierung, das kompromittiert wurde. Auf diesem Weg sind Hacker unter anderem in das Firmennetz von Lockheed Martin eingedrungen.

Und der andere Fall?
Der betrifft die holländische Diginotar, die Sicherheitszertifikate für Datenverschlüsselung ausgegeben hat. Dieser Fall zeigt, von wie wenigen Ankerpunkten die IT-Sicherheit teilweise abhängt. Und während bei RSA der Anbieter noch glimpflich davongekommen ist, musste diese Firma Konkurs anmelden.

Kann einen Security-Experten eigentlich noch etwas umhauen?
Nun, da hängen noch ein paar Damoklesschwerter herum. Die Kryptografie, wie sie heute verwendet wird, basiert beispielsweise auf der Idee, dass es sehr, sehr schwierig und aufwendig ist, die verwendeten Schlüssel zu knacken. Das ist streng genommen nur eine Annahme, für die es keinen Beweis gibt. Erweist sich diese Annahme über Nacht als falsch, stünden wir vor einem Problem, dass sich nicht einfach so in ein paar Tagen beheben liesse.

Gibt es auch Probleme, die man als gelöst abhaken kann?
Gewisse Bedrohungen sind nicht mehr so aktuell. Reines Phishing bei Banken ist nicht mehr so verbreitet, stattdessen stehen «Man in the Middle»- oder Trojaner-Attacken im Vordergrund. Ganz abhaken kann man aber gar nichts.

Jedes Jahr werden Smartphones aufs Neue als nächstes Angriffsziel für Schadsoftware genannt. Dennoch ist auch 2011 kaum etwas passiert.
Diese Plattformen sind verhältnismässig sicher, jedenfalls sicherer als eine alte Windows-Version. Das bedeutet unter anderem, dass eine Verbreitung von Schadsoftware von Handy zu Handy sehr unwahrscheinlich ist. Hingegen hat man dieselben Risiken, was die Webbrowser angeht, die man auch auf den PC hat. Und der primäre Einfallskanal sind die Apps.

Wie viel Schutz bieten die Kontrollen der App-Stores?
Die App-Stores vermitteln eine trügerische Sicherheit. Noch wichtiger ist deshalb die Kontrolle durch die Gemeinschaft der Anwender.

Sind PC und Firmennetzwerke nicht weiterhin die interessanteren Angriffsziele?
Relevant ist primär, an welche Daten die Angreifer herankommen, und weniger via welches Gerät. Smartphones eignen sich als Spionagewerkzeuge, man könnte damit Gespräche aufzeichnen oder mithören, oder man könnte via GPS verfolgen, wo jemand gerade ist.

Ein anderes grosses Thema ist Cloud-Computing. Auch Security wird nun als Cloud-Dienst angeboten. Kann man diese zentrale Aufgabe einfach so auslagern?
Ein wichtiger Teil von IT-Sicherheit beruht darauf, dass man festlegt und kontrolliert, was welcher Benutzer eines Firmennetzwerks darf und was nicht. Für dieses Identity-Management sind Cloud-basierte Lösungen durchaus sinnvoll.

Macht das diese Cloud-Dienste andererseits nicht zu einem sehr attraktiven Angriffsziel?
Orte, wo Daten aggregiert werden, sind stets attraktive Ziele, das stimmt. Doch ein professioneller externer Dienst in der Cloud ist besser und sicherer als eine halbherzige interne Lösung.

Wie «gefährlich» sind eigentlich die Aktivitäten von politisch motivierten Gruppierungen wie Anonymous oder Lulzsec?
Diese Strömung birgt durchaus ihre Gefahren, vor allem, weil es für den Einzelnen enorm einfach wird, sich daran zu beteiligen.

Aber im Vergleich zu kommerziell und professionell geführten Angriffen ist es ein kleines Problem.
Ja, das ist so. Die mediale Aufmerksamkeit hingegen ist ungleich grösser.

Im zu Ende gehenden Jahr wurden auch Bancomaten und Billettautomaten gehackt. Ist das eine neue Entwicklung?
Das hat sicher zugenommen, und die Schweiz ist ein attraktives Ziel hierfür. Die Schwachstelle sind die Magnetstreifen der Karten, die sich einfach replizieren lassen. Mit gefälschter Karte können die Angreifer im Ausland Konti leer räumen. Die Finanzinstitute diverser Länder beschränken deshalb die Bezüge im Ausland strikt auf Karten mit Chip, bei uns wird erst umgestellt.

Mit Chip plus PIN ist man also weiterhin sicher unterwegs?
Ja, weil der Chip, anders als der Magnetstreifen, per se nicht auslesbar ist.

Wieso gibt es denn überhaupt noch die Magnetstreifen auf den Karten?
In einigen Ländern, etwa in den USA, werden diese eben immer noch vorwiegend verwendet, also bleiben sie uns noch eine Weile erhalten.

Man munkelt ja, dass bei den Banken und im E-Banking viel mehr Schaden passiert, als man je öffentlich hört. Stimmt das?
Davon darf man ausgehen. Obwohl wir auch für die Finanzbranche Lösungen entwickeln, sehen wir da aber nicht im Detail hinein. Ich kann Ihnen also nichts Genaueres sagen.

Wenn man sich laufend mit diesen Themen auseinandersetzt, neigt man da mit der Zeit eher zur Paranoia oder zum Fatalismus?
Man lernt, mit den Risiken zu leben, ganz pragmatisch. Für den individuellen Nutzer sind die Risiken nach wie vor eher klein. Es ist ein bisschen wie mit dem Strassenverkehr. Ja, es passieren Unfälle, aber es sind vergleichsweise wenige. Für Firmen sieht das natürlich anders aus, weil das Risiko höher ist und mehr auf dem Spiel steht.

Kann man also als Privatanwender das ganze Thema ignorieren und auf Virenschutz und dergleichen ganz verzichten?
Das wäre allerdings fahrlässig. Das wäre, als ob sie beschliessen würden, fortan nicht mehr auf die Ampel zu achten, wenn Sie über die Strasse gehen. (Tages-Anzeiger)

Erstellt: 20.12.2011, 08:07 Uhr

Artikel zum Thema

Wie gefährlich ist das Web der Zukunft?

Neue Technik, neue Risiken: Die Web-Technik HTML5 bietet offenbar nicht nur den Entwicklern im Multimediabereich völlig neue Möglichkeiten. Mehr...

Der entlarvte Bankspion

Eine neue Technik, die mit allen Virenprogrammen kompatibel ist, verspricht einen fast hundertprozentigen Schutz vor Onlinebanking-Trojanern. Mehr...

«Hacker, die gezielt angreifen, sind die grosse Gefahr für Unternehmen»

Cyberkriminalität werde unterschätzt, sagt Martin Bosshardt, ein Sicherheitsspezialist für Informatik. Eine problematische Rolle spiele aber auch der Staat, der Zugriff auf alle Daten haben möchte. Mehr...

Christoph Dornbierer (32) ist CTO der Zürcher Softwareschmiede Adnovum und Informatikingenieur mit Schwerpunkt Kryptologie.

Newsletter

Der ideale Start in den Tag

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Kommentare