ISC2 Security Congress EMEA 2015, München
Sicherheitsstreben trotz unsicherer Produkte
Auf dem ISC2 Security Congress EMEA 2015 in München diskutierten IT-Sicherheitsfachleute die Möglichkeiten, IT-gestütztes Arbeiten effektiver abzusichern. Security-Forscher David Jacoby von Kaspersky Lab demonstrierte das lächerlich niedrige Sicherheitsniveau von Consumer-Geräten, der irische Psychologe Dr. Cierán McMahon erläuterte die menschlichen Tücken der IT-Sicherheit im Internet-Zeitalter. Trotz aller Bemühungen: Die Lage bleibt bedenklich riskant.
In seiner Eröffnungs-Keynote zum Thema „How I Hacked My Home“ zeichnete David Jacoby, Senior Security Researcher bei Kaspersky Lab, trotz humorvoller Präsentation mit kindlich einfachen Grafiken und zahlreichen animierten GIFs ein sehr düsteres Bild der aktuellen IT-Sicherheitslage: „Wir glauben, dass wir Sicherheit verstehen, aber das ist nicht der Fall“, so Jacoby, „und wir wissen, was wir tun sollten, aber wir tun es nicht.“
Die IT-Sicherheitsbranche müsse aufhören, immer nur über die Vorzüge ihrer Produkte zu reden, und stattdessen die alltäglichen Sicherheitslücken thematisieren; auch müsse sie aufhören, sich auf künftige Bedrohungen (zum Beispiel gehackte Connected Cars) zu konzentrieren, sondern vielmehr die längst bekannten Lücken in den Produkten beheben, die heute im Einsatz sind.
Dass Letzteres nicht der Fall ist, kann man unter IT-Security-Fachleuten als bekannt voraussetzen – aber dennoch, so mahnte Jacoby, werde viel zu wenig für das Schließen dieser Sicherheitslücken getan. Diesen Vorwurf illustrierte er anhand einer Beschreibung, wie er sein eigenes Heimnetzwerk gehackt hat: So sei es ihm innerhalb von nur 20 Minuten gelungen, sein NAS-Gerät vollständig zu kompromittieren.
Angriffsvektor der Demonstration war eine E-Mail mit einer infizierten Videodatei, die im Hintergrund das Heimnetzwerk nach Geräten scannte und ihm als Angreifer die verwendeten Geräte und damit ausnutzbare Lücken meldete. Sein Hack habe allein beim genutzten NAS-System stolze 22 Schwachstellen ergeben, die das Ausführen unerwünschter Befehle ermöglichten.
90 Prozent dieser Bugs, so Jacoby, habe er nicht im Linux-Betriebssystem, sondern im PHP-Code und somit auf Anwendungsebene gefunden. Die IT-Branche, warnte Jacoby, unterziehe die Anwender einer Gehirnwäsche: „Wir laden unsere Backups auf ein Gerät, das weniger sicher ist als das Originalgerät.“ Zudem könne ein Endanwender nicht wissen, ob der Router, den ihm sein Provider bereitstellt, nicht versteckte Administrationsfunktionen, veraltete Software oder Backdoors enthält.
Sein tristes Fazit: „Die Bösen hacken uns bereits, dies ist einfach und effektiv, und es gibt dagegen keine wirkungsvolle Lösung.“ Denn die Hersteller, die er über die entdeckten Schwachstellen informiert hat, haben ihm laut eigenen Angaben nur „den Mittelfinger gezeigt“.
Trotz dieses lächerlich niedrigen Sicherheitsniveaus verbreiteter Consumer-Lösungen betonte Dr. Cierán McMahon, Research and Development Coordinator aus Irland, dass der Mensch das schwächste Glied in der Sicherheitskette sei. In seiner Präsentation zur „Cyberpsychologie“ der Informationssicherheit legte er Aspekte und Entwicklungen dar, die diesen Misstand fördern.
So sei das Internet darauf ausgelegt, Kommunikation „mühelos“ zu machen, bis zu dem Punkt, dass der Nutzer voll darin aufgehe. Dies verführe zu leichtfertigerem Umgang mit Privatheit: „Online sind die Menschen eher geneigt, persönliche Informationen preiszugeben“, so McMahon.
Zudem, so der Psychologe, baue die menschliche Gesellschaft traditionell auf einem engen Verhältnis zwischen autoritativen (also für das Zusammenleben maßgeblichen) Texten und Autoritätspersonen auf. Autorität sei im Internet aber schwerer durchzusetzen: „Online sehen Polizisten aus wie alle anderen Nutzer auch“, so McMahon. Das Web 2.0 wiederum habe zu einer „radikalen Disruption von Wissen und Information“ geführt – und damit auch Autoritätsbeziehungen auf den Kopf gestellt.
Die Sicherheitslage des Miteinanders im Internet sei damit charakterisiert durch ein Spannungsfeld zwischen zentralisiertem und verteiltem Wissen einerseits und zwischen autokratischer Führerschaft und führerlosen Netzwerken andererseits. „Wir müssen diese Widersprüche anerkennen“, forderte McMahon.
Ziel müsse es vor diesem Hintergrund sein, die Menschen in die Lage zu versetzen, bessere Sicherheitsentscheidungen treffen zu können. Unternehmen und Organisationen sollten deshalb einen „Security Champion“ ernennen, der kein Technikexperte sein müsse, sondern vielmehr jemand, der seine Kollegen motivieren und überzeugen kann.
Wichtig bei dieser Überzeugungsarbeit sind laut McMahon Faktoren wie Werte, Kultur und Engagement – und eben nicht nur das in der IT-Security-Branche übliche Angstmarketing: „An Überzeugungen und Werte zu appellieren kann helfen, das Einhalten von Infosec-Richtlinien zu fördern“, so der Psychologe. IT-Sicherheitstrainings hingegen seien oft wenig wirkungsvoll, weil sie sich auf „stumpfsinniges Auswendiglernen“ konzentrierten. Auch die Beschreibung der psychologischen Seite der IT-Sicherheit ergab also ein recht problematisches Bild.
Im Einklang damit förderte die anschließende Panel-Diskussion zum Thema „Wie können wir heute das Morgen sichern?“ zwar einige hilfreiche Anregungen zutage, aber auch viele eher allgemein gehaltene (und sattsam bekannte) Appelle, die vor dem Hintergrund der von Jacoby skizzierten Missstände wenig Anlass zur Hoffnung auf baldige Besserung an der IT-Security-Front geben.
So warnte Georg Freundorfer, Director Security EMEA bei Oracle: „Die meisten Unternehmen sind nicht in der Lage, mit den kommenden Bedrohungen umzugehen.“ Man müsse Sicherheit als „verbreitete Denkweise“ etablieren. Er betonte: „Es ist ein langfristiger Job, aus dem einzelnen [IT-Security-] Silo auszubrechen, dem Management zu erklären, was die Bedrohungen sind und welche Risiken es zu managen gilt, um ihre Herzen für eine Veränderung zu gewinnen“. Und damit, so Freundorfer weiter, um das Budget für Sicherheitsmaßnahmen zu bekommen.
Sebastian Broecker, CISO bei der Deutschen Flugsicherung, warf ein: „Wenn niemand hackbare Autos kauft, können wir die Manager [gemeint sind jene in der Automobilindustrie, d.Red.] ändern.“ Angesichts der immensen, stark Marketing-getriebenen und immer schnelleren Verbreitung „smarter“ Produkte vom „Smart Home“ bis zum „Connected Car“ steht allerdings zu befürchten, dass dieses Hoffen auf die Macht des Verbrauchers weitgehend ein frommer Wunsch bleiben wird.
Ein spannender Vortrag kam von Bruce Hallas, dem Gründer des „Analogies Projects“, der auf dem Kongress sein Projekt vorstellte. Dessen Ziel ist es, das Thema IT-Sicherheit durch Verwendung zielgruppengerechter Analogien verständlicher darzustellen. Denn man müsse die Menschen zuerst für das Thema IT-Sicherheit interessieren, so Hallas, bevor man es ihnen erläutern kann.
Das Analogies Project bietet deshalb eine Online-Bibliothek von Analogien, die IT-Sicherheitszusammenhänge mittels Vergleichen zugänglich machen sollen, um Risiken verringern zu helfen. Am beliebtesten ist laut Hallas ein Text, der IT-Security mit der Politik von Queen Elisabeth I. vergleicht. Andere Analogien nutzen Geschichten der Gebrüder Grimm, von William Shakespeare oder auch Aesops Fabeln. Laut Bruce Hallas haben bereits 93 Menschen aus 14 Ländern Inhalte zu diesem Projekt beigetragen.
Fazit
Um – ganz im Sinne des Analogy Projects – einmal mehr den beliebten Vergleich zwischen IT- und Automobilindustrie zu bemühen: Man erinnere sich an das Straßenbild in den frühen 1960er-Jahren. Damals waren Autos bereits ein Massenphänomen, aber das handelsübliche Fahrzeug hatte noch keinen Sicherheitsgurt, geschweige denn ABS, Airbag, Wegfahrsperre, Alarmanlage oder eine verstärkte Fahrgastzelle. Nach der Erfindung des Automobils mussten erst Jahrzehnte – mit zig-tausenden Verkehrstoten – vergehen, bevor die Autokonzerne solche elementaren Sicherheitsfunktionen nachrüsteten.
Auf dem ISC2-Kongress – wie auf jeder anderen IT-Security-Veranstaltung – erhält man schnell den Eindruck, dass es ein solches 1960er-Jahre-Vehikel ist, mit dem die IT-Industrie den Verbraucher in den dichten Straßenverkehr schickt – während sie ihn eifrig zum „umsichtigen Fahren“ anhält. Und wenn es einen Unfall gibt, dann ist natürlich der dümmste anzunehmende Fahrer schuld, soll er doch einen Sicherheitsgurt oder zumindest funktionierene Bremsen nachrüsten.
Die logische Konsequenz aus dieser Analogie wäre, dass heute der Gesetzgeber gefordert ist, die IT-Branche zu besser gesicherten Produkten zu zwingen, so wie er einst per Kfz-Zulassungsvorschriften die Automobilindustrie an die Kandare genommen hat.
Weitere Informationen zum ISC2 finden sich unter www.isc2.org, das Analogies Project ist online zu finden unter theanalogiesproject.org.
Sicherheitsbedenken bei Windows 10: Einstellungen machen den Unterschied
IoT-Studie: Sicherheit und Datenschutz größte Herausforderung
LANline Security Awareness Newsletter
Lesen Sie mehr zum Thema
