Die totale Vernetzung über das Internet wird zur Falle, behauptet CIS-Geschäftsführer Erich Scheiber. Daher postuliert er, kritische Unternehmensbereiche von der Außenwelt vollkommen abzutrennen und so völlig sicher zu machen – Stichwort "Secure Networks". [...]
Nicht nur die Wirtschaftsspionage via Internet boomt, auch militärische Angriffe werden heute mittels Hackerattacken geführt, wie zuletzt im Iran, in China und den USA. Dazu kursieren beeindruckende Zahlen: Die USA investieren jährlich bis zu 30 Mrd. Dollar F&E-Budget in Cyberwar-Technologien, und China als Quelle der weltweit meisten Hacker-Angriffe verfügt über eine Truppenstärke von mehr als 50.000 Cyberwar-Profis.
Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, sieht die totale Vernetzung via Internet als größten Fallstrick und beschreibt technische Schutzstrategien gegen Angriffe aus dem Netz – Stichwort »Secure Networks«.
Europäische Regierungsnetzwerke verzeichnen vier bis fünf Hackerangriffe täglich. Ähnlich ergeht es forschungsintensiven Unternehmen. Warum ist es möglich, gut geschützte Organisationen trotzdem massiv anzugreifen?
Erich Scheiber: Internationalen Schätzungen zufolge wird weltweit alle zwei Sekunden ein neues Schadprogramm entwickelt. Einfallstore für Hacker entstehen jedoch erst durch die Tatsache, dass Unternehmensnetzwerke heute flächendeckend IP-basierend aufgebaut sind. Durch die Nutzung des Internet-Protokolls TCP/IP wird generell die Kommunikation via Internet zwischen Unternehmen, Mitarbeitern, Lieferanten und Kunden ermöglicht. Ein Vorteil des Internet-Protokolls ist, das es die Datenkommunikation in Netzwerken universell regelt und für alle gängigen Betriebssysteme einsetzbar ist. Da dieses Protokoll mit seiner Syntax und seinem Code bestens bekannt ist, haben Hacker es heute ungleich leichter, als noch vor einem Jahrzehnt. Trotz aller technischen Sicherheitsmaßnahmen.
Welche Gefahren birgt diese totale Vernetzung?
Früher kamen proprietäre, also urheberrechtlich geschützte Netzwerk-Protokolle zum Einsatz, die aufgrund ihrer Individualität sicherer waren. Aber mit dem Siegeszug des Internet, das die Verwendung von IP-Adressen voraussetzt, gewann das Netzwerkprotokoll TCP/IP die Oberhand. Somit benötigen heute auch zentrale Schutzeinrichtungen wie Firewalls oder Komponenten wie Router eine IP-Adresse. Als Folge ist die totale Vernetzung state of the art – damit ist aber auch potenziell alles angreifbar. Eine Tatsache, die sich Cyberwar- und Wirtschaftsspionage-Aktivisten schonungslos zu Nutze machen.
Welche Angriff-Szenarien sind denkbar?
Weit mehr als 30 Prozent der Wirtschaftsleistung einer Industrienation entsteht heute Computer-gesteuert. Theoretisch können über Cyber-Attacken kritische Bereiche eines Landes wie Flugüberwachung, Telekommunikation, Banken oder Stromversorgung blockiert werden. Früher wurden etwa im Energiesektor manuell gesteuerte Verteilzentren betrieben, heute läuft die Stromverteilung europaweit über IP-basierende Steuerungseinheiten. Ähnlich verhält es sich in anderen Schlüsselsektoren der Wirtschaft.
Wie sind aktuelle Schutzstrategien beschaffen?
Der internationale Standard für Informationssicherheit ISO 27001 wird von vielen führenden Unternehmen als Managementmodell herangezogen. Gemäß der darin geforderten Risikoanalyse ermitteln Unternehmen ihr Risikopotenzial und ihren Schutzbedarf. Demgemäß zeichnet sich der Trend zur Entkopplung von Netzwerken und zum Aufbau von Secure Local Area Networks in Hochsicherheitsbereichen und bei kritischen Services ab. Also weg von der totalen Vernetzung, hin zur hermetischen Abschottung gewisser Bereiche nach außen. Der Schutz in einem Secure LAN wirkt nach derselben Logik wie eine nichtgenutzte Steckdose. Ein Laptop, der nicht am Stromnetz hängt, kann durch indirekten Blitzschlag nicht getroffen werden. Ebenso kann ein abgeschottetes Netzwerk nicht von extern gehackt werden, weil es keine Verbindung nach außen gibt.
In welchen Bereichen kommt Secure LAN zum Einsatz?
Ein klassisches Beispiel sind Forschungsnetzwerke, die in Unternehmen oftmals parallel zum Firmennetzwerk eigenständig – ohne Verbindung zu diesem – betrieben werden. Auch Produktionsbetriebe nutzen Secure LAN für die Steuerungssysteme von Maschinen und Öfen. Die Kommunikation nach außen ist direkt aus dem abgeschotteten Netz nicht möglich, da es keine Schnittstellen dafür gibt. E-Mail-, Internet und Webdienste für die externe Kommunikation stehen diesen Mitarbeitern nur über das allgemeine Firmennetz zur Verfügung.
Zeichnet sich ein Paradigmenwechsel ab: Abschottung statt Vernetzung?
»Back to the roots«, könnte man sagen. Die Firmen besinnen sich wieder darauf, wie sie es früher gemacht haben. In wenigen Jahren wird es eine weit verbreitete Methode sein, in kritischen Bereichen eigenständige und abgeschottete Netzwerke parallel zum Firmennetz zu betreiben.
Gefahren in einem Secure LAN lauern dann noch von innen.
Ein Schadprogramm wie Flame kann auch in einem abgeschotteten Netz noch über USB-Sticks oder im Zuge von Updates über andere Medien eingeschleust werden. Dafür braucht es Security-Policies für mobile Devices sowie für Update- und Patchmanagement. Hier kommt die zweite große Säule des Sicherheitsstandards ISO 27001 zum Tragen: Denn der Faktor Mensch – im Falle von Spionage oder Sabotage aus dem internen Umfeld – ist nur bedingt durch Technik in den Griff zu bekommen. Vielmehr ist hierzu auch eine durchdachte Sicherheitsorganisation notwendig, wie sie mit ISO 27001 implementiert werden kann. Dazu gehören neben dem Ausarbeiten detaillierter Policies auch Maßnahmen wie das vier- bis-16-Augenprinzip, ein Meldesystem für Security-Vorfälle, das Einrichten einer verantwortlichen Security-Stabstelle oder die Umsetzung von ISO-27001-Anforderungen bei Personalaufnahme, Jobwechsel und Kündigung. (su)
Be the first to comment