Was Sicherheitsexperten lange befürchteten, tritt am 21. Oktober 2016 ein: Mittels einer Armada gekaperter Sicherheitskameras initiieren Kriminelle eine digitale Attacke ungekannten Ausmaßes – mit erheblichen Auswirkungen: Betroffene Konzerne sind handlungsunfähig und schicken ihre Mitarbeiter nach Hause, Millionen Kunden in den USA und Teilen Europas sind irritiert, der wirtschaftliche Schaden ist bis jetzt nicht beziffert.
All das ereignete sich nur 20 Stunden nach dem Ende des „Fraunhofer-Tag der Cybersicherheit 2016“, auf dem eben diese Angriffe prognostiziert und IT-Security-Lösungen aus der Forschung demonstriert wurden (und den ich als Fach-Moderatorin begleiten durfte). Doch eines nach dem anderen:
Wenn „smarte“ Geräte zu digitalen Waffen werden
Wer Ausmaß und Zukunft digitaler Bedrohung sowie wirksame Gegenmaßnahmen verstehen will, wird sich zwangsläufig mit der Chronologie dieses Oktobertages beschäftigen. Verursacht hat den Ausfall eine DDoS-Attacke, also eine mutwillig herbeigeführte Serverüberlastung. Ziel und Opfer dieser Attacke war das US-Unternehmens DYN, Anbieter von DNS-Systemen für viele große Internet-Dienste. Verkürzt: Fallen die DYN-Server zwangs- überlastet aus, sind die Webseiten ihrer Kunden unerreichbar.
Erfolgten solche DDoS-Attacken bisher vor allem über infizierte Computer (rund 40% sollen in Deutschland betroffen sein), schöpfen Hacker nun zusätzlich aus dem Internet of Things (IoT), sprich: aus der zunehmenden digitalen Vernetzung von Maschinen, Geräten, Sensoren. Genau das ist an besagtem 21. Oktober passiert: Ein Botnet – bestehend einem unsichtbaren Heer gekaperter industrieller Überwachungskameras im zweistelligen Millionenbereich – attackierte die DYN-Server und zwang sie in insgesamt drei Angriffswellen in die Knie. Von morgens, 6:10 Uhr bis in den späten Nachmittag hinein blieben damit etliche der populärsten US-Webseiten unerreichbar.
Vom Internet of Things zum Botnet of Things
Das Internet der Dinge wird also zum neuen Spielfeld, zu einer erweiterten Ressource für Hacker. Und: Zum prognostizierten Wachstum des IoT und aller hierin vernetzten Geräte erwächst parallel die Gefahr eines Botnet of Things. Mit BoT-Attacken kann wiederum unser Internetzugriff großflächig „abgeschaltet“ werden – zumindest temporär.
Die Tragweite solcher Ausfälle für die globale digitale Wirtschaft lässt sich aktuell nur erahnen. Dabei sah der Blick in die IoT-Zukunft bis dato rosig aus, so die Analysten: Belief sich der Wert des IoT-Marktes in 2014 bereits auf über 600 Milliarden US-Dollar, wird im Jahr 2022 ein Volumen von rund 1,8 Billionen US-Dollar angenommen. Ein riesiger Markt, um den Unternehmen schon jetzt mittels neuer Geschäftsmodelle, neuer Produkte und neuer Zulieferketten ringen.
Smart everything: Einfallstor für Erpressung 4.0?
So verlockend die Aussichten also scheinen: Es wird ebenfalls deutlich, wie fragil digitale Geschäftsmodelle jedweder Branche in Zeiten allgegenwärtig vernetzter Geräte sein können. Schließlich steigt mit der rapiden Zunahme smarter Devices – unter bestimmten Bedingungen – auch das Risiko, das sich diese gegen das eigene Business wenden lassen. Wie rapide sich diese Anzahl smarter Geräte entwickelt, prognostiziert das Marktforschungsinstitut Gartner:
Rund 21 Milliarden Dinge sollen bis 2020 mit dem Internet verbunden sein – und aktuell kommen täglich 5,5 Millionen neue Devices ans Netz. Devices für das smart home und die smart city, für smarte Fabriken und Industrie 4.0, für autonomes Fahren und E-Health-Applikationen. Devices, die nicht immer dem aktuellsten Sicherheitsstand entsprechen. Devices, die nicht stets kontinuierlich geprüft werden (wer denkt schon daran, seinen smarten Kühlschrank und andere vernetzte Geräte kontinuierlich upzudaten, wenn schon das eigene Smartphone regelmäßig mit Aktualisierungshinweisen nervt?). Kurzum: In Anteilen hackbare Devices, mit denen potenziell ganze Teile des Netzes lahm gelegt werden können, sekundenschnell.
Experten sprechen bereits von einem eigenen Botnet-Geschäftsmodell, das für Kriminelle sehr lukrativ sein kann: Einerseits lassen sich Dienste-Anbieter und Provider mit einer angedrohten Botnet-of-Things-Attacke erpressen. Andererseits können Hinz und Kunz für wenige Dollar eine solche Attacke kostengünstig bestellen, um beispielsweise unliebsame Konkurrenz zeitweise auszuschalten, ihr damit einen veritablen Geschäft- und Reputationsschaden hinzuzufügen. BaaS – Botnet as a Service, wenn man so will.
Praxis-Nähe und Zukunftsweisendes aus der Forschung
Klar wird: Allein diese konkrete Botnet-Attacke ist für sich genommen schon eine komplexe Angelegenheit. Blickt man auf die Vielzahl weiterer Cybersecurity-Herausforderungen, dann sind Industrie, KMU und Startups gleich auf mehreren Ebenen gut beraten, das Thema IT-Sicherheit konzertiert anzupacken. Doch was gilt es dabei zu beachten? Welche Standards schützen? Wie ist der Stand der Forschung und welche Lösungen sind sinnvoll für das eigene Unternehmen?
Antworten auf diese Fragen erhielten die Teilnehmer des „Fraunhofer-Tag der Cybersicherheit 2016“. Über 160 Gäste aus Wirtschaft, Wissenschaft und Politik fanden sich hierzu am 20. Oktober 2016 im Fraunhofer-Forum in Berlin ein. In seinen einleitenden Worten beschrieb der Fraunhofer-Forschungsdirektor, Dr. Raoul Klingner, wie untrennbar Vertrauen und Sicherheit in Wirtschaft und Gesellschaft sind. Digitale Sicherheit sei als ein Thema nationaler Souveränität zu verstehen und durchdringe dabei eine Vielfalt von Feldern:
Von Mobile und Automotive Security über Industrie 4.0 und Produktzertifizierung für verlässliche industrielle Wertschöpfungsketten bis hin zur IT-Forensik und der sicheren Gewährleistung kritischer Infrastrukturen – man denke nur an die Grundversorgung mit Energie, Wasser, Finanzen, Transport und Verkehr. Rund 400 Wissenschaftler beforschen Fragestellungen in diesen und weiteren Feldern und entwickeln institutsübergreifend neue Lösungen, so Klingner.
Call for Action und Mythbusting
Auch die Vertreter des Bundesforschungs- und des Bundeswirtschaftsministeriums machten in ihren folgenden Impulsvorträgen deutlich, dass digitale Sicherheit eine übergeordnete Wichtigkeit besitzt – und schilderten Aktivitäten, die von politischer und behördlicher Seite aktuell und künftig unterstützt werden, inklusive Aufruf von Prof. Wolf-Dieter Lukas, BMBF, sich mit zukunftsweisenden, innovativen Forschungsvorhaben an das Ministerium zu wenden.
Lehrreich selbst für ausgewiesene Experten war das sich anschließende „Mythbusting“. Der Hintergrund: Viele Mythen ranken sich um die Cybersicherheit: Hacker hocken vereinsamt in Souterrain-Komplexen, proprietäre Lösungen sind stets sicherer als Open-Source-Software und Security geht immer zu Lasten von Usability, also Nutzerfreundlichkeit. Die acht hartnäckigsten Annahmen wurden für dieses Format recherchiert und dann erstmals und ein für alle Mal entzaubert – von Forscherhand (nun auch nachschaubar als unterhaltsames Bewegtbild).
Anforderungen der Industrie, Antworten der Forschung
Vier externe Experten beleuchteten anschließend im Industrie-Talk die wichtigsten Herausforderungen für Mittelstand und Konzerne. Mit dabei: Vertreter von Airbus Space & Defense, der Bundesdruckerei, dem VDMA und dem BITKOM. Debattiert wurden praxisnahe Herausforderungen wie u.a. kohärente, resiliente Sicherheitsarchitekturen mit unterschiedlichen Vertrauensniveaus, der Digitalisierungsfortschritt im Mittelstand, Nachwuchs-Probleme (der aktuelle Bedarf zeigt ein Delta von rund 40.000 fehlenden IT-Sicherheitsspezialisten), die ideale Balance zwischen Industrie-Initiativen und politischer Regulierung sowie Implikationen und Antworten auf das bereits genannte Botnet of Things, beispielsweise in Form notwendiger globaler Standards, Zertifizierungen und Lifecycle-Security.
Antworten auf die Herausforderungen gab es dann auch beim „Blick in die Fraunhofer-Labore“. Gleich fünf Institutsleiter berichteten von aktuellen Cybersicherheit-Projekten, bspw. von der Volksverschlüsselung und Maßnahmen zum Schutz intelligenter Fabriken. Von industriellen Testlaboren zum Aufspüren von Sicherheitslücken. Von Fortbildungsprogrammen für die Wirtschaft und Maßnahmen für Usable Security, die die „Sicherheit-Schwachstelle Mensch“ zum versierten Akteur macht.
Kompakte Informationen zu den laufenden Forschungsprojekten finden sich im Webspecial: www.fraunhofer.de/cybersicherheit.
Den Abschluss machten schließlich vier Branchen-Workshops, in denen ich mir vor allem vier Kernaspekte für die digitiale Wirtschaft und Gesellschaft notierte. Sie stehen programmatisch für die gesamte Veranstaltung:
1. Need to Connect: Müssen wirklich alle Dinge – von der Glühbirne bis zum Sensor-schaukelnden Stubenwagen – ans Internet? Dem Vertrauen in den IoT-Markt würde es zuträglich sein, nicht automatisch, per default jeden Gegenstand zu einem smarten Device zu adeln. Unternehmerische Verantwortung für eigene Produkte und eigene Lieferketten, kombiniert mit der Aufklärung des Verbrauchers, können das Internet of Things sicherer und nachhaltiger gestalten.
2. Security by Design: Die Grundvoraussetzung für sichere Produkte ist die konsequente Berücksichtigung sämtlicher Sicherheitsstandards. Dies startet bereits in der Planungsphase von Hard- und Software, setzt sich in der Entwicklung fort und findet auch in einer kontinuierlichen Lebenszyklus-Prüfung Anwendung. Sensibilisierung für dieses Prinzip innerhalb der IT-Wirtschaft kann erhebliche Ressourcen sparen, ebenso dessen Vermittlung durch konsequente Aus- und Weiterbildung der Fachkräfte.
3. Realismus statt Tech-Pessimismus: Ja, It-Security ist ein komplexes Unterfangen. Ja, ein hundertprozentig abgesichertes System ist kaum realisierbar. Nein, das kann kein Grund sein für Panik oder Passivität. Mit schlüssigen Sicherheitskonzepten – von der Schutzbedarfsanalyse über Personalschulungen und Zertifizierung (ISO 27001 et al.) bis hin zur Notfallplanung – können Unternehmen scheunentorgroße Sicherheitslücken schnell schließen und ein nachträgliches kostenintensives Patching vermeiden.
4. Security als Innovationsmotor und Standortvorteil: Wenn die digitale Wirtschaft eines gezeigt hat, dann das: Herausforderungen bieten großes Innovationspotenzial für schlaue Lösungen. Unternehmen, Startups und Institutionen, die IT-Security zum Geschäftsmodell machen, treiben den „Innovationsmotor Sicherheit“ weiter an – und stärken zeitgleich den Ruf Deutschlands als vertrauenswürdigem Standort und sicherem Datenhafen.
Ein kleiner, feiner Video-Rückblick mit den Highlights der Veranstaltung findet sich an dieser Stelle. Eine englischsprachige Version findet sich bei medium.com.
Digitaler Zettelkasten™
Neben vielen Informationen und Details habe ich mir im Nachgang vor allem dieses Zitat von Bruce Schneier eingeprägt, der bekannte US-amerikanische Experte für Kryptographie und Computersicherheit. Es stammt aus dem Jahr 2009 und ist heute exakt so aktuell wie damals:
„The more secure you make something, the less secure it becomes.“ Occam’s Razor, ick hör dir trapsen.
Popkulturelles Kontextwissen
Das IoT und seine Dinge können nur so smart sein, wie die Menschen dahinter es zulassen. Interessanter wird die Diskussion, sobald digitale Systeme mit künstlicher Intelligenz ausgestattet werden. Mit der Möglichkeit, gänzlich autonom zu agieren und zu wachsen. Hat das Internet of Things also Golem-Potenzial? Was IT und Roboter mit der Mystik des Golems verbindet, ist noch bis Ende Januar 2017 in der empfehlenswerten Golem-Ausstellung im Jüdischen Museum in Berlin zu sehen.