„Die Sicherheitslücke von Intel-Prozessoren ist eine sehr schwerwiegende Tatsache, insbesondere in der Methode: Wie ist es möglich, solche anfälligen Produkte auf den Markt zu bringen?“. Um die Phänomene zu erklären Cyber-Kriminalität sowie Internet-Sicherheitweggehen seit dem letzten sensationellen Fall nach einem Jahr 2017, in dem nur in der ersten Jahreshälfte (und nur bestätigte Fälle gezählt) Cyber-Angriffe weltweit um 8,35 % zunahmen, ist dies der Fall Gabriel Faggioli, wissenschaftlicher Direktor des Information Security & Privacy Observatory of Polytechnikum Mailand, Präsident von Clusit (italienischer Verband für Informationssicherheit) und CEO von P4I, Beratungsunternehmen der Digital360-Gruppe. „Wie können wir uns schützen? Laden Sie immer verfügbare Updates herunter und informieren Sie uns weiter. In Tobagis Worten sind Hacker keine unbesiegbaren Samurai."
Beginnen wir mit dem jüngsten Fall: dem der „ausgefallenen“ Prozessoren dreier IT-Giganten wie Intel, AMD und Arm, die Milliarden von PCs Hackerangriffen aussetzen könnten. Was wirklich passierte?
„Um eines gleich vorweg zu nehmen: In diesem Fall ging es nicht um Angriffe, sondern um die Verwundbarkeit des technologischen Systems. Eine große Sicherheitslücke betrifft Milliarden von Geräten auf der ganzen Welt, die alle kürzlich hergestellt wurden, und gefährdet die Daten von Unternehmen und Einzelpersonen, die in IT-Geräten enthalten sind. Potenziell könnte nichts passieren, wenn es keine unehrlichen Menschen auf der Welt gäbe, aber leider ist dies nicht der Fall und daher können wichtige und weit verbreitete Gefahren nicht ausgeschlossen werden. Der gravierendste Aspekt ist jedoch nicht technologischer, sondern methodischer Natur: Produkte mit solch gravierenden Schwachstellen auf den Markt zu bringen, kommt dem Verkauf von Autos gleich, die auch bei normalem Regen nicht bremsen. Wie konnte dieses Problem in Forschung, Design und Entwicklung übersehen werden?“.
Wer sind die empfindlichsten Ziele und wie können sie sich schützen?
„Jeder, wegen Cyberkriminalität, komm schon Malware al Phishing die am weitesten verbreitet sind, spielen mit großen Zahlen. Milliarden von Menschen werden getroffen, vielleicht ohne es auf irgendjemanden besonders abzuzielen, in der Hoffnung, dass jemand darauf hereinfällt. Gefährdet sind offensichtlich ältere Menschen, paradoxerweise aber auch junge Menschen, die viel mehr elektronische Hilfsmittel nutzen und trotz größerer Praxiserfahrung oft wenig darauf achten, weil sie weniger zu Misstrauen und Nachdenken neigen. Der Rat ist, immer alle verfügbaren Updates vom Betriebssystem auf den Browser herunterzuladen und sich dann weiter zu informieren. Das muss auch eine Aufgabe der Öffentlichkeit sein: Es ist an der Zeit, dass Informatikunterricht dauerhaft Einzug in die Schulen hält.“
Der Bericht von Clusit (Italienischer Verband für Informationssicherheit) hebt hervor, dass die Risiken der Cyberkriminalität immer noch hauptsächlich mit dem wirtschaftlichen Schaden verbunden sind, den sie den Opfern zufügen können. Welche Arten von Risiken gibt es?
„In 75 % der Fälle zielen Cyberkriminelle auf ihre Opfer ab, um Geld zu erpressen. Allerdings geschieht dies nur zu einem geringen Teil durch das Eindringen in die heute immer sicherer werdenden elektronischen Zahlungssysteme, meist handelt es sich dabei um Betrugsmaschen per E-Mail, die auf Täuschung setzen. Ich erinnere mich zum Beispiel an den Fall des nigerianischen Betrugs, aber auch an andere, die 2017 in Mode kamen. Deshalb bestehe ich auf der Notwendigkeit weiterer Informationen. Dann gibt es Cybermobbing, Imageschäden, Diebstahl persönlicher Daten, Identitätsdiebstahl. Und Spionage."
Hier hat die Cyberspionage im Jahr 2017 stark zugenommen und mit Fällen wie Russiagate Schlagzeilen gemacht: Kann sie zur neuen Grenze der Cyberkriminalität werden?
„Ob es ein neuer vorherrschender Trend wird, ist schwer zu sagen. Sicherlich sind die bekannten Fälle in einem Jahr um 126 % gewachsen, auch wenn sie zahlenmäßig immer noch wenige sind, obwohl sie wie der von Russiagate sehr wichtig sind. Ich bin jedoch davon überzeugt, dass sich die Praxis als Instrument des unlauteren Wettbewerbs nicht nur im geopolitischen, sondern auch im unternehmerischen Bereich weiter verbreiten kann.“
Wer steckt normalerweise hinter dem Hack?
„Kriminelle Organisationen, aus der ganzen Welt, die es jetzt zu einer sicheren und substanziellen Einnahmequelle machen. Dann die einsamen Wölfe und sogar einige Staaten wie Russland und China, auch wenn sie es natürlich leugnen“.
Zurück zu den technologischen Mängeln, die dann die Cyberkriminalität begünstigen können: Viele werfen den großen Namen im Silicon Valley eine zu oberflächliche Haltung zum Thema vor. Zustimmen?
„Von absoluter Vernachlässigung würde ich nicht sprechen, aber manchmal scheint es etwas unbeschwerte Ansätze zu geben, auch wenn die massive Verbreitung vernetzter Geräte das Problem nicht nur bei den großen Namen im Silicon Valley, sondern auch in den Häusern trägt aller Unternehmen, die Produkte und Dienstleistungen informatici und telematici erstellen oder um deren Realisierung bitten. Könnten sie mehr tun? Definitiv ja, aber ich denke, sie werden es: Es gibt ein zunehmendes Bewusstsein, auch dank der medialen Aufmerksamkeit, die die kürzlich aufgetauchten Fälle erhalten.
Die Clusit-Daten besagen stattdessen, dass gerade Europa anfällig für Cyberangriffe ist. Warum und wie versucht er, das Problem zu beheben?
„In Europa gibt es mehr Opfer, aber das ist normal, weil einige Länder, einschließlich Italien, im Vergleich zu Nordamerika, aber nicht nur, unter einer historischen Verzögerung bei der Computerisierung leiden. Computerisierung bedeutet auch Computerkultur, und darin hinken wir hinterher, auch wenn wichtige Schritte unternommen werden. Die im Europäischen Parlament diskutierte Gesetzgebung (Cybersecurity Act genannt) sollte ENISA, die Europäische Agentur für Netzwerk- und Informationssicherheit, stärken und zu einem organischen Rahmen für IT-Sicherheitszertifizierungen für Produkte und Dienstleistungen führen. Es ist ein guter Schritt."
Es ist Italien?
"Es wird besser. Zunächst einmal ist die öffentliche Aufmerksamkeit gewachsen: Die scheidende Regierung hat den neuen nationalen Plan für Cyberschutz und Informationssicherheit verabschiedet. Auch die von der AgID (Agentur für digitales Italien) in den letzten Monaten verabschiedeten Mindestmaßnahmen zur IKT-Sicherheit für öffentliche Verwaltungen machen sich gut. Ich war immer der Meinung, dass die italienische öffentliche Verwaltung in Bezug auf die Organisation von IT-Infrastrukturen und -Anwendungen zu fragmentiert ist, was zu einem Anstieg der IT-Kosten und -Risiken führt. Stattdessen halte ich es für angebracht, die Verwaltung von Infrastrukturen und Anwendungen zu zentralisieren, um Rationalisierung, Kosteneinsparungen und mehr Sicherheit zu ermöglichen. Tatsächlich können ohne Zweifel nur Spieler angemessen investieren, die auf bedeutende Skaleneffekte zählen können: Denken Sie nur an die wichtigsten Cloud-Computing-Plattformen der Welt, wie beispielsweise Dropbox. Keine Privatperson, kein Freiberufler oder gar ein KMU oder Großunternehmen kann sich solch massive und kontinuierliche Investitionen in die Sicherheit leisten. Outsourcing und Aggregation machen Systeme sicherer und effizienter. Der Weg ist auf jeden Fall richtig, auch wenn ich befürchte, dass die Ressourcen ausgehen könnten: Milliarden sind nötig, um die PA zu sichern.“
Stattdessen auf Unternehmensebene?
„Im High-End-Bereich, also bei den größten Unternehmen, glaube ich, dass das Thema Computersicherheit jetzt auf der Tagesordnung steht. KMU hingegen hinken hinterher. Das Thema ist, dass die Investitionen in die IT-Sicherheit zu gering sind: Die Ausgaben für IKT (Informations- und Kommunikationstechnologien) in Italien beliefen sich 66 auf 2016 Milliarden. Das Mailänder Polytechnikum hat geschätzt, dass von diesen 66 Milliarden weniger als 1 Milliarde für die Sicherheit aufgewendet wurden, dh 1,5 % (0,05 % des BIP): zu wenig. Denn wer von uns würde uns beim Kauf eines Autos vertrauen, wenn er weiß, dass der Hersteller seiner Zuverlässigkeit nur eine von 100 Ressourcen gewidmet hat?“.
Abschließend eine Provokation: Wir haben sogar in Italien über technologische Verzögerungen gesprochen, aber manchmal ist es gerade die Verbreitung von Technologie in immer weiteren Bereichen, die ein größeres Risiko bedingt. Tatsächlich zählt der Clusit-Bericht auch Smart Working, das Internet der Dinge und Industrie 4.0 zu den Gefahrenfaktoren…
„Es ist physiologisch, weil es die Angriffsfläche vergrößert, aber Technologie sollte nicht verteufelt werden. Es ist, als ob wir Unfälle im Auto vermeiden wollten, kehren wir zur Fortbewegung in einer Kutsche zurück. Es liegt sicherlich an den Unternehmen, Produkte immer sicherer zu machen, und es liegt an der Öffentlichkeit, Regeln festzulegen und zur Aufklärung der Bürger beizutragen. Aber leider wird es wie bei allen Dingen immer Probleme geben: durch Nachlässigkeit, Unwissenheit, Fehlinformation. Wir brauchen Kultur und Verständnis für Risiken und damit die Fähigkeit zu verstehen, wo es am besten ist, zum eigenen Wohl, aber auch zum Wohl anderer aufzuhören.“
