• Facebook
  • Twitter
  • Google Plus
  • Interview

Auch der beste Schutz wird mal fallen

, von Jens Brambusch

Anfang der Woche enthüllte Wikileaks, wie die CIA Sicherheitslücken für Spionage nutzt. Für Christian Polster von Radar Services ist das eine neue Eskalationsstufe

Der © Radar Services
Der "Defenseroom" von Radar Services

Christian Polster ist Chefstratege bei Radar Services, Europas führender IT-Sicherheitsberatung mit Sitz in Wien. Zuvor hatte Polster im weltweiten IT-Management der Lufthansa Systems AG gearbeitet.Christian Polster ist Chefstratege bei Radar Services, Europas führender IT-Sicherheitsberatung mit Sitz in Wien. Zuvor hatte Polster im weltweiten IT-Management der Lufthansa Systems AG gearbeitet.


„Vault 7“ – unter diesem Codenamen hat die Enthüllungsplattform Wikileaks zu Beginn der Woche 8761 Dokumente der CIA veröffentlicht. Sie beschreiben, wie der US-Geheimdienst Sicherheitslücken in IT-Geräten nutzt, um Spionage zu betreiben. Auch gegen europäische Unternehmen. Betroffen sind Produkte der Firmen Apple und Google, Windows-Rechner, aber auch Fernseher der Marke Samsung. Die CIA soll sogar in der Lage sein, die Kontrolle über vernetzte Autos zu übernehmen. Für Christian Polster ist damit eine neue Eskalationsstufe erreicht.

Herr Polster, nach den letzten Enthüllungen von Wikileaks, ist Ihnen Angst und Bange abgehört zu werden?

Wenn das so wäre, dann müsste ich die ganze Zeit sehr beunruhigt sein. Ich gehe wahrscheinlich vorsichtiger an meine Kommunikation heran. Deshalb überlege ich im Vorfeld bei vertraulichen Informationen, welchen Kanal ich wähle. Aber grundsätzlich beobachtet fühle ich mich nicht.

Und welchen Kanal wählen Sie?

Telefon und Mail sind natürlich nach wie vor bei einem schnellen Austausch das einfachste. Aber wenn es um sensible Informationen geht, dann nehme ich mir die Zeit, die Dokumente zu schützen. Beispielsweise mit einem Passwort oder durch Verschlüsselung. Das dauert ein, zwei Minuten. Aber da beginnt es schon: Zunächst muss ich einmal wissen, was überhaupt wichtig ist.

Das wissen viele Unternehmen nicht?

Das ist zumindest das, was wir immer wieder sehen. In vielen Unternehmen gibt es gut geschulte IT-Mitarbeiter, die absolut fit sind, was die Sicherheit anbelangt. Aber kommt deren Wissen auch bei allen Mitarbeitern an, in einem Unternehmen mit etlichen tausend Mitarbeitern? Meistens nicht. Dabei ist jeder dieser Mitarbeiter ein potenzielles Einfallstor für Cyberangriffe. Einfach, weil sie sich der Gefahren nicht bewusst sind. Schulungen wären daher der erste Schritt zu mehr Sicherheit.

Wenn es an Sensibilisierung fehlt, sind Skandale wie der jüngste über die CIA-Aktivitäten doch die beste Werbung für Sicherheitsfirmen...

Im Prinzip schon. Sie führen auf alle Fälle dazu, dass in Unternehmen die Problematik erkannt wird. Wobei seit Snowden kaum noch einer sagen kann, „das habe ich nicht gewusst“. Die Erkenntnis ist ja aber nur der erste Schritt. Wichtig ist, was die Konsequenz daraus ist.

[Seitenwechsel]

Und die wäre? Gibt es überhaupt noch einen allumfassenden Schutz?

Eine Erkenntnis ist in der Tat, dass es nicht mehr ausreicht nur über „Protection“, den Schutz, zu sprechen. Viele verlassen sich beispielsweise auf ihre Firewalls, wiegen sich in Sicherheit, haben aber vielleicht Schlupflöcher übersehen oder die Software falsch installiert. Wir müssen uns bewusst sein: Viele Dinge wird man nicht verhindern können. Auch der beste Schutz wird mal fallen. Aber das muss man mitbekommen. Und zwar schnell. Wenn etwas passiert, braucht man eine Feuerwehr, die rund um die Uhr einsatzbereit ist und weiß, was zu tun ist. Sonst wird das Feuer zum Flächenbrand. Deshalb ist es notwendig, das Unternehmen intelligente und vorausschauende IT Security Monitoring
Lösungen einsetzen.

Anscheinend brennt es auch bei der CIA. Immerhin konnte der Geheimdienst es nicht verhindern, dass knapp 9000 streng geheime Dokumenten aus ihren heiligen Hallen an die Öffentlichkeit gelangt sind.

Ja, natürlich spielt immer noch der Faktor Mensch eine entscheidende Rolle. Ein Beispiel: Sie haben einen Computer ohne USB-Anschluss, der nicht ans Netz angeschlossen ist. Es gibt keinen Kontakt zur Außenwelt. Aber immer noch können Dokumente aufgerufen und vom Monitor abfotografiert werden. Man müsste also die Handys der Mitarbeiter kontrollieren. Aber was machen Sie, wenn sich jemand brisante Informationen einfach merkt? Das ist das, was ich meinte: Eine absolute Sicherheit gibt es nicht.

Als Sie Anfang der Woche von den CIA-Dokumenten erfahren haben, was hat Sie am meisten überrascht?

Die ethische Dimension. Ein Staat schadet der eigenen Volkswirtschaft. Die CIA hat Schadstellen bei US-Unternehmen wie Apple oder Google erkannt, aber sich bewusst dafür entschieden, dies nicht den Konzernen mitzuteilen. Zulasten der Unternehmen und der Menschen, die deren Produkte verwenden. Stattdessen wurden die Schwachstellen unter Verschluss gehalten, um sich Zugriff auf Daten zu verschaffen.

Und die technische Dimension?

Es ist ja nicht so, dass man nicht gewusst hat, wozu die Geheimdienste fähig sind. Aber es ist eine weitere Bestätigung dafür, dass seitens Staaten alles versucht wird, um Zugriffe auf IT-Systemen zu ermöglichen. Aus welchen Motiven auch immer. Ob es um Wirtschaftsspionage geht oder um Terrorabwehr. Es werden Mittel eingesetzt, die nicht legitim sind. Damit sind die Amerikaner aber sicher nicht allein.

Ist überhaupt noch etwas sicher? In den Dokumenten ist davon die Rede, dass iPhones, Android-Geräte, Kameras und Mikrophone in Fernsehern und sogar das autonome Fahren sabotiert werden können. Machen es die Hersteller dieser Produkte es den Geheimdiensten vielleicht zu einfach?

Das glaube ich nicht. Die Unternehmen tun meines Erachtens eine Menge für die Sicherheit ihrer Systeme. Sie engagieren beispielsweise externe Hacker, die Schwachstellen aufspüren sollen. Werden die gefunden, werden die Schlupflöcher mit Updates geschlossen. Aber auch da hat die CIA aktiv eingegriffen, Programme eingeschleust, die genau das verhindern sollen. Das ist schon eine neue Eskalationsstufe.

Muss sich man sich mittlerweile damit abfinden, dass man sich nicht schützen kann?

Manche Dinge wird man in der Tat nicht verhindern können. Umso wichtiger ist es aber, sich zunächst bewusst zu sein, was man unbedingt schützen muss. Und darauf muss man Energie verwenden. Was sind die Assets eines Unternehmens? Was könnte für Dritte wichtig sein? An diesem Bewusstsein mangelt es oft.

Wie kann man das schärfen?

Das müsste schon in der Schule beginnen. Kinder und Jugendliche haben einen sehr laxen Umgang mit ihren Daten, weil es kein Bewusstsein dafür gibt, welche Gefahren lauern. Sie stellen alles mögliche ins Netz, ohne sich der Konsequenzen bewusst zu sein. Dieses Verhalten einmal angewöhnt, nehmen sie es auch mit in die Arbeitswelt. Deshalb wäre es sinnvoll, IT-Sicherheit und den Umgang mit Inhalten bereits in der Schule zu thematisieren. Wer schon früh für die Gefahren sensibilisiert wird, wird auch später vorsichtiger sein.

Sie plädieren für ein Schulfach IT-Sicherheit?

Die „Digital Transformation“ verändert die Welt, die Unternehmen, die Gesellschaft. Das ist die Zukunft. Man kann nicht früh genug damit anfangen, sich damit zu beschäftigen. In den Schulen ist das noch nicht angekommen. Im Rahmen dessen muss man auch auf die Gefahren hinweisen. Viele Eltern sind doch überfordert, sie wissen gar nicht, was ihre Kinder im Internet alles machen. Daneben ist die Entstehung einer supranationalen Organisation beziehungsweise die Förderung
von innovation Labs auf politischer Ebene notwendig, damit der Bedarf an den dringend benötigten „Superbrains der IT“ auch in Europa abgedeckt werden kann.


Artikel zum Thema