IGF 2021: Netzsicherheit und unsicheres Schwachstellenmanagement
Die Ausnutzung von Schwachstellen für Geheimdienste muss angesichts der enormen Schäden von der Politik neu bewertet werden, fordern Sicherheitsexperten.
(Bild: Copyright Polish Press Agency (PAP))
Der IT-Sicherheitsexperte Serge Droz sprach beim 16. Internet Governance Forum (IGF) darüber, wie Schwachstellen durch Geheimdienste und Strafverfolger ausgenutzt werden. Das Ankurbeln der entsprechenden "Märkte für Unsicherheit" mache ein Umdenken in der Politik erforderlich, sagte Droz beim IGF im polnischen Katowice. Wirtschaft und Gesellschaft entstünden dadurch hohe Kosten.
Aus Sicht des "Forum for Incident Response and Security Teams" (FIRST), die als Ersthelfer bei Sicherheitsproblemen im Netz ausrückt, wird die Situation ohne ein politisches Umdenken hochgradig brenzlig. Droz berichtete in einer der über 250 Veranstaltungen des hybriden 16. Internet Governance Forum aus der Arbeit der Netz-Feuerwehrleute.
Die Ausnutzung von Schwachstellen für Geheimdienste muss angesichts der enormen Schäden von der Politik neu bewertet werden, mahnte Droz, der im Hauptberuf Sicherheitschef bei ProtonMail ist. Am Beispiel der jüngsten Schwachstelle von Microsoft Exchange Servern beschrieb er den IGF-Teilnehmern, wie durch das Eröffnen von Löchern ganze Epidemien durch die Computernetze zögen.
Spionageparty auf Kosten der Bürger
"Wenn der staatliche Akteur fertig ist, springen alle Kriminellen sofort auf diesen Zug mit auf, um Ransomware Attacken auf all diejenigen zu starten, die nicht sofort gepatcht haben. Die Geheimdienste organisieren praktisch eine Party für Kriminelle", so Droz. Dabei ungebetene Gäste fernzuhalten, sei kaum noch möglich.
Für die Cybersecurity-Ersthelfer seien die entstehenden Wellen kaum noch zu bewältigen. Kleineren Firmen und einfachen Nutzern sei der Wettlauf ums Patchen auch kaum zuzumuten. Manchmal seien die entstehenden Schäden zudem nicht mehr zu beheben, etwa beim Verlust sensibler Daten aus dem Gesundheitssystem.
Zusätzlich verunsichert seien viele auch, weil sie befürchteten, sich mit den Updates gleich neue Malware einzufangen, kritisierte Kaja Ciglic, Direktor Digital Diplomacy bei Microsoft. Auch Ciglic betonte die extreme Reichweite dieser Art der Billig-Spionage.
Schwachstellen für (einen Teil von) Europa
Der Europaabgeordnete Bart Groothuis, Berichterstatter für die Novellierung der Network Information Security (NIS) Richtlinie, anerkannte in der IGF Plenarsitzung zum Thema Sicherheit, Vertrauen und Stabilität, die negative Entwicklung privater und staatlich gesponsorter "ZeroDay-Fabriken".
Ganz verzichten könne man wegen der Kriminalitätsbekämpfung aber nicht auf die Schwachstellen. "Wir brauchen sie manchmal, um zu bestimmten Endpunkten zu gelangen", sagte er. Er plädierte stattdessen dafür, entsprechende Tools vor Ländern wie Ungarn, Polen oder China fernzuhalten. Exportkontrollen und eine bessere Aufsicht sind seiner Meinung nach für eine Balance notwendig.
Cryptowar in .eu
Ganz gegen standardmäßige Eingriffe in verschlüsselte Verbindungen im Sinne der Strafverfolgung sprach sich demgegenüber Groothuis‘ Parlamentskollege Patrick Breyer in einem Workshop zu Verschlüsselung und Menschenrechten aus. Breyer erklärte, der Krieg um sichere Ende-zu-Ende-Verschlüsselung sei in Europa voll im Gang. Das zeigten die aktuellen Forderungen nach Client-Site-Scanning bei Plattform- und Dienstebetreibern. Die wird notwendig, wenn die EU-Kommission ihren Plan durchsetzt, privaten Nachrichten grundsätzlich auf mögliche Kindesmissbrauchsdarstellungen durchsuchen zu lassen. Der entsprechende Vorschlag ist für März 2022 angekündigt.
Ein gewisser Hoffnungsschimmer, so sagte der Piraten-Politiker Breyer vor IGF-Teilnehmern, seien immerhin das Bekenntnis der neuen deutschen Ampelkoalition zu einem "Recht auf Verschlüsselung" und der große öffentliche Widerstand gegen Apples abgebrochenes Projekt zu einem Client Site Scanning.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Jede Menge gute Normen
Eine wachsende internationale Erkenntnis, dass staatliche Zugriffsmöglichkeiten und Cyberwaffen-Arsenale ein Problem für die Sicherheit der Netze bedeutet, konstatierte am letzten Tag des IGF 2021 das Best Practice Forum Cybersecurity. Das BPF hatte in einem faszinierenden Bericht insgesamt 36 aktuelle Normen untersucht, die von internationalen und regionalen zwischenstaatlichen Organisationen oder Nichtregierungsorganisationen und Firmen entwickelt worden sind. Der Vergleich ergab unter anderem, dass Regeln bezüglich der Beschaffung und Ausnutzung offensiver Cybertools kontinuierlich zugenommen haben.
Analysiert haben die Experten des BPF als nächstes die potentiellen Effekte der freiwilligen Normen auf vergangene und laufende Attacken. Hätten Schäden des CIH Virus 1999 oder des Solarwind-Angriffs durch die konsequente Umsetzung der Normen abgemildert werden können? Die Heartbleed-Schwachstelle hätte von einer international koordinierten Schwachstellenanalyse und -weitergabe profitiert, so eines der Ergebnisse.
Die Erfahrungen mit Heartbleed veranlassten FIRST 2015 zur Etablierung einer neuen Gruppe für die Koordination von Informationen über Schwachstellen. Diese Gruppe entwickelte in der Folge erstmals gute Richtlinien. Auch auf zwischenstaatlicher Ebene wurde reagiert. So gibt es mittlerweile eine Norm, dass die im Fall von Attacken so wichtigen CERTs – zumindest die offiziellen – nicht angegriffen und Patching-Prozesse nicht fürs Einspielen von Schwachstellen genutzt werden sollen. Zuletzt, versicherte Microsoft-Vertreterin Ciglic, habe es in den UN-Verhandlungsgruppen zum Thema Cybersecurity sogar Zusagen gegeben, diese Norm auch wirklich umzusetzen.
(dwi)
