Stimmt es, laut den Nachrichten von gestern Morgen? Falsch, gemäß der Leugnung, die gestern Nachmittag direkt von Sogeis Computerassistenten verbreitet wurde? Der mutmaßliche Hackerangriff auf die Revenue Agency, mit dem üblichen Ritual der Drohungen, gestohlene Daten ohne ein beträchtliches Lösegeld zu verbreiten, ist ein weiterer Schlag in die Sicherheit der großen Computersysteme, die heute die Essenz unseres Lebens sind. Es passiert, unnötig zu leugnen. Selbst die Großen beugen den Kopf und zahlen, sagen Experten. Wie kann das passieren? Kann sogar ein theoretisch übersichertes System wie das des italienischen Steuerkontrollturms, der von Sogei, einem angesehenen öffentlichen IT-Giganten, geschaffen und verwaltet wird, angreifbar sein? Corrado Giustozzi, einer der führenden italienischen Cybersicherheitsexperten, Journalist, Schriftsteller, Popularisierer, Pionier der ersten integrierten Lösungen in der Welt des Internets, antwortet auf FIRSTonline.
Ist irgendein Computersystem exponiert oder kann sich jeder für sicher halten?
Die Wahrheit ist, dass alle Computersysteme einem Angriff ausgesetzt sind. Ihr Sicherheitsniveau kann nur relativ sein. Wenn ich mich gegen einen Arbeitskollegen verteidigen muss, können die Barrieren relativ niedrig sein, wenn uns ein Geheimdienst angreift, müssen die Barrieren viel höher sein. Auch hier herrscht der ewige Kampf zwischen immer ausgefeilteren Angriffs- und Verteidigungstechnologien. Nichts ist sicher, auch weil ein schwer kontrollierbarer Faktor lauert: menschliches Versagen. Das Problem liegt zu oft in den Menschen, in den Verhaltensweisen, in der Nachlässigkeit, die die Lücken öffnet. Ich spreche nicht von dem spezifischen Problem bezüglich des Angriffs auf die Revenue Agency, ob real oder mutmaßlich. Wer sich wehrt, ist immer im Nachteil.
Wie geht es dem Finanzamt?
Es ist wahr, was ich gesagt habe. Das Auto ist anspruchsvoll. Es wird auf höchstem Niveau verwaltet. Aber das reicht nicht aus, um es vor möglichen Angriffen zu schützen.
Gibt es trotzdem Beispiele, um das Sicherheitsniveau zu erhöhen?
Schwer zu beantworten. Denken wir an die großen Institutionen, die sich mit Sicherheit befassen, und wir stellen fest, dass selbst diese als unangreifbar geltenden Subjekte es tatsächlich nicht wissen. Ein Beispiel? Vor einigen Jahren hat eine kriminelle Organisation, weil es darum geht und ich es für unangebracht halte, sie Hacker zu nennen, die CIA-Site verletzt, indem sie Daten und Anwendungen gestohlen hat, die dann sogar zur Entwicklung neuer Malware verwendet wurden.
Was kann oder sollte man noch tun, um sich zu wehren, um das Risiko zumindest einzudämmen?
Es geht darum, den besten Kompromiss zwischen Bedürfnissen und Wahlmöglichkeiten zu finden, die zudem sehr unterschiedlich sind. Denken wir darüber nach, was in den lokalen Verwaltungen und in ihren Beziehungen zur öffentlichen Verwaltung passiert ist und passiert: Es gibt Befürchtungen, dass kleine Gemeinden nicht in der Lage sind, ihre IT-Systeme zu verwalten, und es gibt Pläne, die Verwaltung ihrer Ressourcen in einigen wenigen Ländern zu zentralisieren Zentren, um sie besser kontrollieren und schützen zu können. Aber hier ist die Kehrseite: Alle Daten sind an wenigen Stellen zentralisiert. Kurz gesagt, alle Eier in einen Korb. Mit dem Ergebnis, dass für diejenigen, die diese Systeme angreifen wollen, eine Vorzugsspur geschaffen wird, die sich trotz theoretisch besserer Absicherung auf wenige große Kerne konzentrieren können.
Ist es besser, die IT-Ressourcen wieder aufzuteilen?
Nein. Genau das ist das Beispiel des besten Kompromisses, jedenfalls kein entscheidendes: Zentralisieren ist das kleinere Übel, auch wenn es nicht die perfekte Lösung ist.
Nie bezahlen, empfehlen die Behörden. Aber im Falle eines Angriffs geben viele nach, leugnen vielleicht, es getan zu haben. Wie können wir sicher sein, dass die Opfer das Lösegeld nicht bezahlen und es vielleicht als Ratschlag tarnen, Systeme vor Hackerangriffen zu säubern?
Ein gigantisches Problem, das offensichtliche Analogien zu Entführungen aufweist. Mit dem Unterschied, dass hier wirklich schwer zu überprüfen ist, ob das Lösegeld für die gestohlenen Daten bezahlt wurde oder nicht. Es gibt Bitcoin Wallets, Triangulationen, eben die Maskierung mit Desinfektionsberatung. In den heißen Tagen der Entführungen wurde ein Gesetz zur Vermögenssperre erlassen, um das große Geschäft der Entführungen abzuschrecken. Einige fordern einen ähnlichen Standard für den Computerdatensektor. Ich fürchte, die Umsetzung ist schwierig. Wie kann man die Gelder eines großen Unternehmens blockieren, ohne es zu immobilisieren? Ich würde das Problem anders formulieren: Die Zahlung des Lösegelds ist der letzte Ausweg, und in jedem Fall darf man auf diese Eventualität nicht unvorbereitet sein. Eine Eventualität, die jedoch berücksichtigt werden muss. Ein bisschen wie zum Beispiel beim Brandschutz. Denn allzu oft hören Praktiken bei der Prävention auf und nicht bei der Vorbereitung und Planung des Verhaltens im Falle eines erfolgreichen Angriffs. Und hier sind die Richtlinien bekannt, aber nicht jeder wendet sie mit der gebotenen Sorgfalt an, beginnend mit einer effektiven und kontinuierlichen Datensicherungsstrategie. Dadurch kann es jederzeit und überall wiederhergestellt werden. Damit sind die Daten aber sicher gespeichert. Natürlich bleibt das Problem der Verbreitung durch die Person, die sie gestohlen hat, bestehen, was die Technik ist, die von Kriminellen in den letzten Diebstahlsfällen verwendet wird.
Genau. Was zu tun ist?
Die einzig praktikable Sicherheitsmaßnahme ist die Verwendung von Kryptographie, eine Operation, die nicht einfach ist und von vielen vorschnell als Allheilmittel bezeichnet wird. Auch hier ist die Sicherheit bei weitem nicht gewährleistet. Wenn die Festplatte in diesem Moment gestohlen wird, ist sie gut verschlüsselt praktisch unantastbar. Wenn sie jedoch Daten stehlen, die in ihrer Betriebsphase zusammen mit ihrem Verschlüsselungsschlüssel verschlüsselt werden, was sehr oft der Fall ist, ist die Sicherheit überhaupt nicht gewährleistet.