FEEI-Interview mit Helmut Leopold

FEEI-Interview mit Helmut Leopold, Head of Center for Digital Safety & Security am AIT, dem Austrian Institute of Technology: „Wir fühlen uns zu sicher!“

FEEI: Wie sicher ist unsere kritische Infrastruktur?
Helmut Leopold: Wir fühlen uns aus der Erfahrung der vergangenen 20 Jahre viel zu sicher, aber wir werden angreifbarer, je weiter die Digitalisierung voranschreitet. Neue Angriffsszenarien sind entstanden, sie sind professioneller, ausgeklügelter und automatisierter – und das Gefährlichste: Cyber-Kriminalität ist inzwischen kommerzialisiert. Daher werden Services angeboten, die es auch Laien ermöglichen, einfach Schwachstellen in IT-Systemen zu finden und auszunützen. Die Bedrohung für kritische Infrastruktur geht inzwischen von organisierten und finanzkräftigen Strukturen aus. Dazu kommt, dass die Technik allein an ihre Grenzen stößt, wenn menschliches Verhalten und kriminelle Energie dazukommen.

FEEI: Wer ist besonders von Cyber-Attacken betroffen?
Leopold: Grundsätzlich kann alles und jeder von einer Cyber-Attacke betroffen sein: der Konsument genauso wie Unternehmen aus den Branchen Automotive, Energie oder Telekom. Betroffen sind sowohl kleine und mittlere Unternehmen als auch große Konzerne. Die Täter profitieren von der hohen Vernetzung der Systeme und der globalen Dimension im Internet, welche Anonymität ermöglicht und eine Verfolgbarkeit erschwert. Am besten wappnen sich Unternehmer, indem sie Cyber-Security zur Chefsache machen und nicht nur im eigentlichen IT-Bereich alle Prozesse – vom Design der IT-Systeme über die Systementwicklung bis hin zum Betrieb – entsprechend anpassen, sondern auch die bis jetzt noch nicht von Digitalisierung und Vernetzung betroffenen Systemteile miteinbeziehen. Diese Verschränkung der herkömmlichen Technikwelt mit der Digitalisierung und der globalen Vernetzung stellt uns vor sehr große Herausforderungen. Klare Verhaltensregeln und Standards helfen wesentlich dabei, das Risiko zu senken. Anfangen könnte man  beispielsweise mit Zutrittskontrollen und einem wirksamen Passwortschutz.

FEEI: Wie kann eine nachhaltige Lösungsstrategie aussehen?
Leopold: Grundsätzlich fängt jede effektive Lösung mit der Bedrohungsanalyse und dem Risikomanagement an. Industriebereiche – aber auch jedes einzelne Unternehmen – müssen sich über ihre Bedrohungslage klar werden und dann in einem Risikomanagementansatz die Lösungsstrategie festlegen. Technische Maßnahmen sind dabei genauso wichtig wie Prozessfestlegungen über den Umgang mit Systemen und Daten. Vor allem gut ausgebildete Mitarbeiter mit hohem Sicherheitsbewusstsein stellen eine gute Grundlage für einen wirksamen Schutz dar. Weiters ist eine nationale Cyber-Strategie erforderlich, um für komplexe Bedrohungslagen gerüstet zu sein. Technologiehersteller, Systemintegratoren, Netzbetreiber, Serviceanbieter, Industrie und Institutionen der öffentlichen Hand müssen an einem Tisch sitzen und Strategien ausarbeiten. Unabdingbar ist eine neue Art der Kollaboration in Sachen IT-Security, um den globalen Bedrohungen wirksam entgegenzutreten.

FEEI: Woran erkennt man einen gefährlichen Angriff?
Leopold: Ein Virenschutzprogramm erkennt heute schon rund 400 Millionen verschiedene Malware-Signaturen, täglich kommen tausende neue hinzu. Das Problem für klassische Virenschutzsoftware und Firewall-Schutzmechanismen sind die komplexeren und schädlicheren Cyber-Attacken, die sich oft über mehrere Monate hinziehen und an mehreren Stellen angreifen, um das Ausmaß des Gesamtangriffs zu verschleiern. So erscheinen kleine, einzelne Attacken unwichtig, obwohl sie ein wichtiger Bestandteil einer übergreifenden, komplexen und höchst gefährlichen Angriffsstrategie sind – mit solchen ausgefeilten Ansätzen kann in jedes IT-System eingebrochen werden. Die Forschung bezeichnet diese Art von strategischen Angriffen als sogenannte „Advanced Persistent Threats“.

FEEI: Warum setzten sich Security-Produkte noch nicht in dem Ausmaß durch, wie es notwendig wäre?
Leopold: Sicherheit steht immer Benutzerfreundlichkeit entgegen. Aus diesem Grund ist Sicherheit relativ, denn das System muss zugleich für Nutzer einfach bedienbar sein. Wenn ein zu geringes Bewusstsein des Bedrohungspotenzials und der möglichen Konsequenzen von Cyber-Attacken vorhanden ist, werden die Kunden einen höheren Aufwand bei der Bedienung oder höhere Kosten nicht akzeptieren. Zusätzlich ist fehlende Sicherheit eine sehr schwer greifbare Problematik. Deshalb ist das Schaffen von Bewusstsein und ein Zusammenarbeiten aller Stakeholder zur Schaffung umfassender Schutzkonzepte eine unbedingte Notwendigkeit. Nur so können wir reüssieren.

Mehr zum FEEI: www.feei.at