Aufrüstung im Netz schwächt IT-Sicherheit

Wie groß die Gefahr für die allgemeine IT-Sicherheit durch die Militarisierung der IT ist, lässt sich nur schätzen – zum Beispiel anhand der nicht veröffentlichten Zero Day Exploits. "Es wird geschätzt, dass pro Staat zwischen wenigen Dutzend bis Hunderte Lücken nicht an die Hersteller weitergegeben werden", sagt Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) im Gespräch mit Technology Review. "Wenn wir das auf alle Staaten mit Cyber-Warfare-Programmen hochrechnen, kommen wir auf Hunderte bis Tausende Lücken, die weltweit für Angriffe zurückgehalten werden. Selbst wenn man davon ausgeht, dass nicht alle Lücken gleich gefährlich sind, ist das ein enormes Unsicherheitspotenzial."

Tausende Lücken für Cyberwar zurückgehalten

Hans Schotten, Leiter der Abteilung Intelligente Netze am DFKI, bleibt dennoch zuversichtlich. "Wir sind noch kilometerweit davon entfernt, das Rennen verloren zu haben", sagt er. Zwar verschwimme die Grenze zwischen kriminellen und staatlichen Angreifern und die Angriffe würden "immer komplexer und besser orchestriert". Forschung und Industrie würden jedoch "in einem hohen Tempo" neue Verteidigungswerkzeuge entwickeln. "Bei diesem hohen Tempo muss ein Angreifer erst mal mitkommen." Mit seinen Kollegen entwickelt er neue Techniken, die vor allem industrielle Systeme gegen Angreifer verteidigen. Neben der automatisierten Erkennung von Angriffsmustern spielt dabei mittlerweile auch die automatische Täuschung des Angreifers eine Rolle.

TR 11/2018

Dieser Beitrag stammt aus Ausgabe 11/2018 der Technology Review. Das Heft ist ab 11.10.2018 im Handel sowie direkt im heise shop erhältlich. Highlights aus dem Heft:

• Nur gucken reicht nicht!
• Die Vermessung der Tiefsee
• Hackbraten mit Chips
• Gegen den Wind
• Im Gehirn des Wählers
• Fokus Cyberwar: Kollateralschaden einkalkuliert
• Fokus Cyberwar: Mein erster Cyberkrieg
• TR bestellen

Einig sind sich die Experten jedoch darin, dass sich vor allem an den politischen und wirtschaftlichen Rahmenbedingungen etwas ändern muss, um mehr IT-Sicherheit zu schaffen. Schulze spricht von einem "dysfunktionalen Markt" für IT-Sicherheit. Schotten sagt: Die neuen Sicherheitsmaßnahmen sind aufwendig und "oftmals für den Einzelnen nicht wirtschaftlich“. Das Interesse der Menschen auf Entscheiderebene hielte sich daher manchmal in Grenzen.

"Es ist Zeit, über neue Formen der Regulierung nachzudenken“, fordert daher Schulze. Sie müsste mehr Anreize schaffen, über IT-Sicherheitsprobleme offen zu sprechen. Staatliche Institutionen könnten mit gutem Beispiel vorangehen: "In anderen Ländern wird öffentliche Infrastruktur gegenüber der Sicherheitscommunity zur Begutachtung geöffnet“, erzählt Schulze.

Mehr zum Thema Cyberwar in der neuen November-Ausgabe von Technology Review (im gut sortierten Zeitschriftenhandel und im heise shop erhältlich).

(anwe)