Ende September haben der eco – Verband der Internetwirtschaft e. V. und die Heise Medien GmbH & Co. KG zu den Internet Security Days 2017 ins Phantasialand Brühl eingeladen. Hunderte folgten der Einladung und ließen sich die Mischung aus Wissensaustausch sowie Freizeitparkfeeling nicht entgehen. Auch wir waren vor Ort.
Doch zunächst einmal was sind die Internet Security Days? Bereits 2003 hat der eco –Verband einen Kongress ins Leben gerufen, der sich mit der Ausbreitung unerwünschter E-Mails auseinander setzte. Auf dem sogenannten Anti-Spam-Kongress wurden im Laufe der Jahre viele wichtige Initiativen gestartet, wie etwa die Anti-Spam-Task-Force, das Anti-Botnet-Beratungszentrum und die Certified Senders Alliance. Seit 2011 führen die Internet Security Days (ISD) diese Tradition fort. Zum zweiten Mal richtete der eco-Verband zusammen mit heise Events nun die ISD gemeinsam aus und bieten den rund 300 ausschließlich professionellen Teilnehmern – meist CEOs, CTOs, CIOs und CISOs – eine geeignete Plattform für den Wissensaustausch.
Am Donnerstag begrüßte Prof. Norbert Pohlmann, Vorstand eco – Verband der Internetwirtschaft e. V., Ressort Sicherheit, die Teilnehmer in seiner Eröffnungsrede mit Fakten zur Bedeutung der Digitalisierung für die Wertschöpfung. So gewinnt die Digitalisierung gerade im B2B-Bereich mehr an Bedeutung. Aber auch andere Bereiche wie beispielsweise die Mobilität werden zunehmend digitalisiert und das entlang der gesamten Prozesskette – von der Entwicklung über die Produktion bis in den eigentlichen Fahrbetrieb. Diese Entwicklungen haben natürlich zur Folge, dass sich auch das Level der IT-Sicherheit erhöhen muss, um die Risiken durch die Digitalisierung zu reduzieren. Schließlich ist das Potenzial der Digitalisierung abhängig vom Vertrauen in die IT-Sicherheit. Die vergangenen Jahre, so Prof. Pohlmann, zeigten aber auch die Angreifbarkeit – Malware im Internet of Things (IoT), DDOS-Angriffe oder Ramsomware wie Locky und WannaCry. Daher setzt der eco-Verband auch auf den ISD die inhaltlichen Schwerpunkte: Advanced Cybercrime, Connected World, Faktor Mensch und Security by Design.
In der anschließenden Keynote vom IT-Blogger Felix von Leitner alias Fefe ging es um schlechte Software. So ließ sich seiner Meinung nach ein Großteil der Sicherheitslücken bereits durch eine bessere oder vor allem fehlerfreie Programmierung verhindern. Gründe für diese „schlampige Programmierung“ sieht er unter anderem in falschen Anreizen. Aussagen wie „Die Bugs mache ich zu; das sieht aus, als hätten wir Bug Debt“, „Die Bugs mache ich nicht zu, sonst sieht das ja aus, als würde ich nicht mehr gebracht“, „Nur Code ohne Warnings darf eingecheckt werden“ oder „Die Bugs machen wir wegen Release-Deadline mal zu, können wir ja danach wieder aufmachen“ sind leider keine Seltenheit. Fefe zeigt in seinem Gedankenspiel, dass man sich beim IT-Projekt fast immer für Pfusch anstatt es ordentlich zu machen entscheidet. Die Begründung dafür ist fast immer ökonomisch. Jedoch ist dieses ökonomische Argument laut Felix von Leitner Unsinn, denn Pfusch kostet Geld und „ordentlich machen amortisiert sich schon vor Fertigstellung des Produkts!“ Daher spricht er sich in seinen dafür aus, dass es unmoralisch ist schlechte Software zu verbreiten und der Fokus auf den kurzfristigen Profit führt uns ins Verderben.
Die zweite Keynote von Christian Pursche vom LKA Niedersachsen, Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft zielte auf den Bereich „Connected World“. In Deutschland seien mittlerweile rund 64 Millionen Menschen vernetzt und da seiner Einschätzung nach bei 95 Prozent der erfolgreichen Cyber-Angriffe auf menschliches Fehlverhalten zurückzuführen waren, sei Benutzersensibilisierung die zentrale Aufgabe. Der Mensch müsse verstehen lernen, dass ein Mausklick einen komplexen Prozess mit weitreichenden Folgen anstoßen könne. Nur so könne der Anteil an Sicherheitsvorfällen langfristig auf 45 Prozent gesenkt werden.
Nach der ersten Kaffeepause ging es in die „Security Sessions“, sprich drei Parallelsessions zu den Themenbereichen „Advanced Cybercrime“, „Faktor Mensch“ und „Recht und Standards“. So stellte beispielsweise Patrick Andreas von Tarox im Bereich „Faktor Mensch“ die Wichtigkeit der internen Kommunikation für die Unternehmenssicherheit heraus. Dabei sollten sich die Sicherheitsanstrengungen an den Problemfeldern der Mitarbeiter und der Chefs ausrichten, denn menschliches Handeln und Unterlassen ist der Risikofaktor Nummer 1, wohingegen technische Sicherheitsmaßnahmen nie eine abschließende Antwort auf Risiken sein können. Dabei sei es laut Patrick Andreas unerlässlich sich verständlich auszudrücken und das bedarf einer konfliktpräventiven Kommunikation – klar, knapp, wertfrei und konstruktiv. Auch Nadin Ebel von der Firma Materna ging in ihrem Vortrag auf den Faktor Mensch in IT-Managementsystemen ein. Dabei stellte sie heraus, dass der Mensch verschiedenen Gefahren ausgesetzt ist: Schäden durch höhere Gewalt, Angriffen von außen und Gefahren von innen. Den Faktor Mensch dabei einfach aus dem Betrachtungssystem zu nehmen funktioniere nicht, da wie schon in der Keynote von Christian Pursche beleuchtet, die meisten Schäden vor Ort verursacht werden. Nur rund 30 Prozent sind auf Angriffe über das Internet zurückzuführen. Daraus lässt sich ableiten, dass Awareness substanziell für erfolgreiche Informationssicherheit ist, welche Methoden der Awareness am besten zu einem Unternehmen passen ist von deren Kultur abhängig.
Was aus fehlender Awareness folgen kann, zeigte Ivano Somaini von Compass Security in seinem Live-Demo-Vortrag „Social Engineering“. Doch was verbirgt sich hinter „Social Engineering“? Zunächst einmal bezeichnet der Begriff die angewandte Sozialwissenschaft, im eigentlichen Sinne ist jedoch damit die zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, gemeint. Im Bereich der IT-Security zeigte sich dies für Ivano Somaini darin, dass es ihm fast ausschließlich auf dem Weg der unbewussten Beeinflussung von Personen gelang vertrauliche Informationen zu erhalten, technische Sicherheitsbarrieren waren hingegen nicht zu überwinden. In einem Beispiel, was unter anderem auch durch die Presse ging, verkleidet sich Somaini am 6. Dezember als heiliger Nikolaus, um in den Sicherheitsbereich einer Bank zu gelangen. Am Empfangsdesk wurde er ohne Kontrolle durchgewinkt, weil die Firma tatsächlich einen Nikolaus gebucht hatte. So kam er in den gesicherten Bereich, zog einen Anzug an, den er im Gabensack versteckt hatte – und konnte sich frei im Gebäude bewegen. Aber auch die Neugier lässt sich im Social Engineering wunderbar instrumentalisieren: In einem Fall richtete er ein E-Mail-Konto ein, das dem Namen eines Bankmanagers glich, von dessen Geldhaus er einen Auftrag erhalten hatte. Unter dieser Identität verschickte er eine kurze Nachricht: «Lieber XY, hier noch die aktuelle Bonuskalkulation.» Das E-Mail ging an die gesamte Belegschaft der Bank. „Es sollte so aussehen, als ob die Nachricht eines Managers an einen anderen Manager versehentlich ‚an alle’ gegangen war“, sagt Somaini. Angehängt war ein Excel-File mit dem Titel „Bonus-Rechner“. Tatsächlich steckte in der Datei ein Wurm, der sich selbst aktivierte, sobald man sie öffnete. Zwei Drittel der Angestellten konnten nicht widerstehen und klickten.
Doch nicht nur auf der sozialen Ebene tun sich Sicherheitslücken auf. Nicht erst seit diesem Jahr ist Phishing eine beliebte Methode um an sensible Daten zu gelangen. Dr. Marco Ghiglieri von der TU Darmstadt ging in seiner Präsentation auf Methoden ein wie man sich gegen Phishing und andere gefährliche Nachrichten gezielt schützen kann. Zunächst sollte man sich Nachrichten genauer anschauen: Ist die Nachricht plausibel? Sind die Webadressen plausibel? Sind die Anhänge plausibel? Ein wichtiger Anhaltspunkt ist dabei die Webadresse, die unten in der Taskleiste vieler Browser angezeigt wird. Passen hier die Abschnitte der Second-Level-Domain, links vor dem Punkt, und der Top-Level-Domain, rechts vom Punkt, nicht zum Inhalt der Mail, sollte man in keinem Fall Anhänge oder Links öffnen.
Nach dieser Fülle an Input am ersten Tag konnten sich die Teilnehmer auf die Internet Security Night freuen. Hier standen das Networking und der Spaß im Vordergrund. Dafür wurde die nordisch-mystische Themenwelt Klugheim exklusiv geöffnet. Bis zu 16 Runden schafften einige der Teilnehmer auf dem schnellsten Multi-Launch-Coaster der Welt, Taron an diesem Abend.
Doch keineswegs waren die Internet Security Days damit zu Ende, auch der zweite Veranstaltungstag war reichgefüllt mit einer Vielzahl von Informationen. Den Einstieg gestaltete David Fuhr von der Firma HiSolutions. Dessen Präsentation passenderweise nicht nur den Titel „The Internet is a Rollercoaster“ trug, sondern das Internet als eine Art Achterbahn darstellte und die Angriffe auf dieses System mit unterschiedlichen Eingriffsszenarien symbolisierte. So können man beispielsweise einen Kryptotrojaner mit einem Außenstehenden vergleichen, der die Bügel manipuliert, sodass die Fahrgäste nur gegen ein Lösegeld wieder herauskommen.
Wie man Datensicherheit und Datenschutz im Fahrzeug gewährleisten kann, verdeutlichte Markus Bartsch vom TÜViT. Es kommt dabei nicht nur darauf an die Fahrzeuge gegen Angriffe von außen zu schützen, sondern es muss auch Richtlinien geben, wie mit den Daten, die teilweise personenbezogen sind, umgegangen werden soll. Hierzu schlägt der TÜViT eine neutrale Plattform vor, die sozusagen als Gateway fungiert.
Dass aber auch ein Angriff von außen nicht nur der Fantasie entspringt, erläuterte ESET, ein Spezialist für IT-Sicherheitslösungen, am Beispiel des Malwareprogramms Industroyer. Die Schadsoftware steht im Verdacht im Dezember 2016 einen Cyberangriff auf das Stromnetz der Ukraine überhaupt möglich gemacht zu haben. Die Untersuchung der ESET Forscher ergab, dass die Malware in der Lage ist, Schaltanlagen in Umspannwerken und Leistungsschalter direkt zu kontrollieren. Damit sind Cyberkriminelle in der Lage, eine Reihe von Ausfällen auszulösen, die Stromversorgung zu unterbrechen und Anlagen schwer zu beschädigen. Jedoch sei es laut ESET unwahrscheinlich, dass eine solche Malware ohne spezielles Equipment, welches auch in der anvisierten Industrie verwendet wird, geschrieben und getestet werden kann. Die Autoren von Industroyer könnten demnach über spezielle Kenntnisse über industrielle Kontrollsysteme verfügen.
Unter dem Titel „Geteilte Verantwortung in der Connected World – Chance oder Schicksal?“ stellte Rechtsanwalt Dr. Timm Neu von cleverbridge die rechtlichen Rahmenbedingungen in einer Connected World anhand der Fernsehserie Silicon Valley vor. In der Serie geht es unter anderem um einen smarten Kühlschrank, welchen das Startup mit einer Software ausstattet. Diese Software läuft jedoch zunächst nur auf einem „dezentralisierten Internet“, sprich einem Clouddienst-Server (ohne Backup). Der Server erstellt daher Auto-Backups auf dem gehackten smarten Kühlschrank über das Haushalts-WLAN. Als dann der Clouddienst-Server zerstört wird, nimmt der smarte Kühlschrank an, dass das Auto-Backup ein Update seiner eigenen Software sei und informiert alle anderen smarten Kühlschränke des gleichen Modells, wo dann das vermeintliche Backup installiert wird. Dadurch wird der smarte Kühlschrank quasi zu einem Clouddienst-Server. Nun muss man sich natürlich die Frage stellen, wer für die entstandenen Schäden durch die „Schadsoftware“ die Verantwortung übernehmen muss: Sind es die Mitarbeiter des Startups, welche die Software für eigene Zwecke modifiziert haben, der W-Lan-Anschlussinhaber, der Clouddienstbetreiber, der Verkäufer des Kühlschranks, der Hersteller des Kühlschranks oder der Hersteller der Software? Positiv für die Betroffenen: Die Haftung regeln die Vertragsparteien weitgehend untereinander. Dabei verteilen sich die Haftungsrisiken in der Praxis durch Service Level Agreements, klare Vertragstypenregelung, Haftungsfreistellungsklauseln, vertraglich vereinbarte (Cyber-)Versicherungen und Beweislast-Verteilung nach § 309 Nr. 12 BGB & Sensorik/Datenlage. Allgemein zeigt sich, dass Industrie 4.0 und IoT die technische beziehungsweise juristische Komplexität von Produkten erhöhen. Dadurch müssen sich viele Beteiligte im Ernstfall koordinieren. Sinnvoll laut Dr. Timm Neu sind daher IoT-Verträge by Design, die jenseits gesetzgeberischer Initiativen liegen.
Den Abschluss der diesjährigen Internet Security Days bildete die Keynote von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hierbei zeigte er die exponentielle Entwicklung der Digitalisierung anhand von IoT-Geräten. So gab es 6,4 Milliarden IoT-Geräte in 2016. Im Jahre 2020 sollen es hingegen schon 20,8 Milliarden IoT-Geräte sein. Daraus folgend sei IT-Sicherheit nicht nur ein bedeutender Standortfaktor, sondern ein stark wachsender Wirtschaftsfaktor und nicht zuletzt auch Wettbewerbsvorteil.
Fazit & Ausblick
Auch in diesem Jahr gaben die Internet Security Days einen tiefen Einblick in das Thema IT-Sicherheit. Dabei zeigte sich, dass nicht nur technische Vorkehrungen gegen Cyberangriffe geschaffen werden müssen, sondern auch die Awareness aller Beteiligten muss in den Köpfen verankert werden. Wir können also gespannt sein, von welchen Entwicklungen im kommenden Jahr auf den Internet Security Days 2018 berichtet wird. Natürlich dann auch wieder im Phantasialand Brühl.