Wie viel Security benötigt man?

Wie viel Security benötigt man?

Die gesamte IT-Landschaft mit ihrer flächendeckenden Vernetzung, bei der jedes noch so kleine Gerät mit dem Internet verbunden ist, ist schon für Spezialisten kaum überblickbar und verständlich, geschweige denn für den "normalen" Benutzer oder Alltagsmenschen. Parallel dazu geistern durch die öffentlichen und sozialen Medien Schlagworte, die mit "dem Bösen“ assoziiert, oder zumindest als problematisch, betrachtet werden: Cloud, Messenger-Dienste (WhatsApp und Co), Datenschutz, das Internet generell, und vieles andere. Auch große Unternehmen wie Google, Apple und Microsoft werden gerne als Feind betrachtet. Andere wiederum schwören auf Microsoft und Linux und haben "DIE“ als Feindbild. Gemeint sind Regierungen und Geheimdienste die angeblich sowieso über alles Bescheid wissen.

In den wenigsten Fällen stehen wissenschaftliche Fakten oder rationale Überlegungen dahinter, sondern emotionell bedingte Einstellungen, Meinungen, Unwissenheit, oder auch das Wissen über die eigene Unwissenheit, darüber, was eigentlich im Hintergrund wirklich dahinter steckt.

Dieser Artikel versucht unter diesem Blickwinkel die sehr abstrakten Fragen "Was ist eigentlich Security?“ und "Wie viel Security benötigt man?“ zu beantworten.

 

Was ist Sicherheit?

Sicherheit ist relativ. Es gibt keinen absoluten Wert der beurteilen kann, ob etwas sicher ist oder nicht. Zusätzlich muss man sich bewusst machen, dass es sowieso keine 100-prozentige Sicherheit gibt. Auch wenn man noch so viele Anstrengungen unternimmt, die perfekte Sicherheit wir man nie erreichen. Das wurde in der Geschichte der Menschheit und auch im IT-Zeitalter immer wieder bewiesen. Menschen sind aus Hochsicherheitsgefängnissen ausgebrochen, die besten Safes der Welt wurden geknackt, usw.

Sicherheit ist relativ. Man wird sich keinen Spezialsafe um € 10.000,- ins Haus holen, nur um darin Modeschmuck einzuschließen, den man an einem Kiosk um ein paar Euro erstanden hat. Wie viel ist dieser Schmuck wert? Der materielle Wert dessen geht vermutlich gegen Null. Verbindet einen dieses Schmuckstück vielleicht mit einer ganz besonderen Situation im Leben, mit besonderen Erinnerungen? Wie viel ist das wert?

Genau diese Betrachtungen gelten auch für die moderne Welt der Datenkommunikation und der IT-Systeme, nur dass primär nicht-materielle Dinge die Hauptrolle spielen, nämlich die sogenannten Daten. Jedes Gespräch, dass über einen Messenger transportiert wird, jedes versendete Bild, jedes Dokument, jeder Geschäftsbrief, jeder Mausklick, jedes Geheimnis, all das sind Daten, die über das heute alles erschließende Netzwerk - das Internet - transportiert werden. Egal ob es eine Liebeserklärung, die Beschreibung einer bahnbrechenden neuen Erfindung oder die persönliche Krankengeschichte ist, es ist definitiv nicht egal was mit den Daten passiert und wer sie in die Hände bekommt.

Wer kann schon in die Zukunft blicken und wissen, was sich in Bezug auf die politische Gesinnung von Gesellschaften und Regierungen ändern wird? So ist es durchaus nicht auszuschließen, dass Dinge die man heute bedenkenlos tun oder sagen kann, morgen vielleicht unerwünscht sein werden. Was passiert, wenn dann in den Daten der geschichtliche Verlauf recherchiert wird? Allein die Geschichte der letzten 100 Jahren zeigt, dass das immer wieder passiert ist. Es muss dabei aber nicht unbedingt um Leben oder Tot gehen. Wie man regelmäßig beobachten kann, werden gerne „Jugendsünden“ aus der Vergangenheit hochkarätiger Politiker ausgegraben.

 

Die Angst adressieren

Um Sicherheitsvorkehrungen zu treffen sollte man sich zuvor einige zentrale Fragen stellen. Das gilt sowohl für den privaten, wie auch den geschäftlichen Bereich.

  • Was (welche Informationen) möchte ich schützen?
  • Warum möchte ich sie schützen?
  • Vor wem möchte ich diese Informationen schützen?

Im IT-nahen Geschäftsumfeld ist vor allem die Was-Frage meist recht eindeutig zu beantworten. Es handelt sich entweder um das Kerngeschäft selbst, das Kerngeschäft betreffende Daten oder es gibt gesetzliche Vorgaben welche Daten zu schützen sind.

Im privaten Bereich sieht das leider oft ganz anders aus. Viele Menschen verfügen nur über wenig Hintergrundwissen oder haben ein völlig falsches, oder verzerrtes Bild von dem, welche Möglichkeiten der "Feind“ tatsächlich hat. Dementsprechend findet man zum einen Menschen, die jegliche Sicherheitsmaßnahmen völlig ignorieren, nach dem Motto „Die wissen sowieso alles!“, oder solche, die jede moderne Entwicklung aus Prinzip ablehnen und dadurch langsam aber doch, den Anschluss an die stetig fortschreitende Weiterentwicklung der Gesellschaft verpassen.

Ich wage zu behaupten, dass "DIE" bei weitem nicht "ALLES“ wissen. Das ist sehr einfach durch die nicht zu bändigenden Datenflut, die tagtäglich produziert wird, zu begründen. Je mehr Daten produziert werden, umso schwieriger ist es darin gezielt etwas zu finden. Das gleicht der Suche nach der Stecknadel im Heuhaufen. Österreich ist ein extrem bürokratischer und kontrollierender Staat, in dem für alles und jedes Formulare, Genehmigungen, Unterschriften, usw. notwendig sind. Es wird versucht alles und jeden zu kontrollieren. Dennoch wird man immer wieder an unterschiedlichsten Stellen und Ämtern nach denselben Dingen gefragt und nicht selten wird man als Staatsbürger widersprüchliche Dinge feststellen. Warum? Weil jede einzelne Stelle in einem Datenchaos erstickt und eine Vernetzung und ein Datenabgleich enorme Anstrengungen in Hinblick auf die IT-Landschaft bedeuten und somit auch Unsummen an Steuergeld verschlingen würden. Jede Partei und viele andere Stellen kochen ihre eigenen "IT-Suppen“, weit von einer Zusammenarbeit und Vernetzung entfernt (Das ist natürlich teilweise auch durch Interessenskonflikte begründet).

Eine verbreitete Aussage ist ebenfalls: "Ich habe nichts zu verbergen."  Ja, es mag tatsächlich auf den ersten Blick so erscheinen, bei genauer Betrachtung ist dem aber nicht so. Bei niemandem.

  • Würde man dem eigenen Mann / der eigenen Frau alle Nachrichten oder den eigenen Browserverlauf ansehen lassen?
  • Würde man dem Vorgesetzten seine privaten E-Mails lesen lassen?

Wer kann diese Fragen tatsächlich mit "Ja!“ beantworten? Wahrscheinlich niemand.

Um die im Zusammenhang mit diesem Artikel stehenden Themen zu konkretisieren, kann man sich aber anhand dieser Fragen nun auch die „Was“, „Warum“ und „Vor wem“-Fragen stellen. So sollte das Thema, welches im ersten Moment vielleicht etwas abstrakt wirkte, etwas greifbarer geworden sein.

 

Wer sind "die"?

Wie bereits zuvor erwähnt, sind die Ängste verschieden und nicht immer eindeutig formulierbar. Das gilt für den privaten Bereich genauso wie für den Geschäftsbereich. In letzterem gibt es sehr unterschiedliche Ansätze und auch eine große Bandbreite an Sicherheitsvorkehrungen, die getroffen werden oder auch nicht. Das können wir, aus unserer Sicht als Security-Consultants, beinahe täglich bei unseren Kunden beobachten.

Manche Unternehmen sind sehr fortschrittlich in diesem Bereich, andere beginnen gerade erst damit. Auch die Schwerpunkte sind sehr unterschiedlich gesetzt. Viele Maßnahmen sind oft auf persönliche Meinungen und Vorlieben von Entscheidungsträgern zurückzuführen. Selbstverständlich ist das menschlich und das wird auch immer so bleiben, allerdings wäre eine etwas abstraktere und strukturiertere Vorgehensweise empfehlenswert.

Die Frage, vor wem man sich schützen möchte, ist oft weniger weit entfernt als man denkt. In den Medien wird generell immer von „Cyberangriffen“ gesprochen, was den Schleier des Mysteriums über das Ganze legt, so mysteriös ist es aber in den seltensten Fällen. Grob kann man folgende Gruppen unterscheiden.

 


Zufällige Angriffe

Diese werden in der Regel von sogenannten "Script Kiddies“ durchgeführt. Es wird dabei eher flächendeckend (also ohne bestimmtes Ziel) versucht, bekannte Schwachstellen auszunutzen. Betroffen sind davon i.d.R. schlecht gewartete Systeme, also solche die nicht regelmäßig Software-Updates erhalten. Das können Internet-Server sein, aber auch ganz normale Heim-PCs oder Smartphones. Kurz zusammengefasst: alle Geräte, die eine Internetverbindung haben. Gerade im privaten Bereich kommt es regelmäßig vor, dass z.B. Social Media Accounts "gehackt“ werden. In den meisten Fällen kann das in die Kategorie "zufällige Angriffe“ eingeordnet werden, zurückzuführen auf schlechte Passwörter und/oder gleiche Passwörter auf vielen Systemen.

Obwohl der Schaden für den Einzelnen zwar beträchtlich sein kann (z.B. weil alle Urlaubs- oder Kinderfotos der letzten 10 Jahre weg sind), ist die Auswirkung meistens verkraftbar. Diese Angriffe lassen sich relativ leicht abwehren, in dem man sämtliche Geräte ordentlich wartet, d.h. regelmäßig aktualisiert und vernünftige Passwörter benutzt (mehr Informationen dazu auch in unsere Artikelserie Password Insecurity).


Finanziell motivierte Massenangriffe mafiöser Organisationen

In diese Kategorie kann man jede Form vom Spam- und generische Phishing-Emails einordnen. Viele Viren, die sich im Internet rasch verbreiten, gehören ebenfalls in diese Kategorie. Wie im vorangegangenen Abschnitt geht es auch hierbei i.d.R. um nicht zielgerichtete Angriffe, sondern ähnlich wie bei einer Postwurfsendung von Werbeflugblättern und -broschüren um Massenaussendungen, in der Hoffnung, dass ein paar wenige "anbeißen“. Das tun sie auch, sonst hätte dieses Angriffsmodell nicht so eine große Verbreitung.

Sich dagegen zu schützen ist nicht ganz so einfach. Obwohl heutige Mailfilter und Virenscanner sehr ausgereift sind, gibt es keine Garantie dafür, dass derartige E-Mails bzw. Viren trotzdem am eigenen Computer oder im Netzwerk landen. Genau genommen hilft dagegen nur entsprechende Bildung und eine gesunde Portion Hausverstand. Im Unternehmen kann man dem mit entsprechenden Schulungsmaßnahmen begegnen. Privatpersonen kann ich nur empfehlen, zu lesen was im Text steht, bevor man irgendetwas anklickt. Man kauft ja auch nicht jeden Artikel, nur weil er in irgendeiner Werbebroschüre abgebildet war.


Überwachung durch die Staatsgewalt

Dieser "Feind“ sorgt für Unbehagen, sowohl im privaten als auch im geschäftlichen Bereich. Zurecht, denn er ist schwer greifbar und auch dessen sicherheitstechnische Möglichkeiten sind nicht ganz klar. Rational betrachtet kann man allerdings sehr wohl einige Aussagen treffen. Eine (geheime) Organisation mag wohl in der Lage sein, unvorstellbare Summen in IT-Systeme, Forschung und Entwicklung zu stecken, um enorme Rechenleistungen zu erzielen und Codes zu knacken u.Ä., aber über die Gesetze der Physik können sie sich dennoch nicht hinwegsetzen. Es ist auch nicht anzunehmen, dass jene Organisationen über geheime Technologien verfügen, wie etwa Bruce Wayne, die allen anderen um Lichtjahre überlegen sind. Zum anderen gibt es sehr wohl Staaten auf dieser Erde die kein Geheimnis daraus machen, was sie in diesem Punkt tun. Der absolute Vorreiter ist China. China hat über Jahrzehnte eine beispiellose Überwachungsmaschinerie aufgebaut, die alles bisher Gesehene in den Schatten stellt. Rein technisch betrachtet braucht uns das in Europa nicht erschrecken, es sein denn, man unterhält private oder geschäftliche Kontakte nach China oder betreibt sogar einen Firmenstandort dort. In diesem Fall ist man gut damit beraten, sich ernsthaft mit diesem Thema auseinanderzusetzen, wenn man nicht daran interessiert ist, dass die Geheimnisse langsam aber sicher davonsickern.

Die allgemeine Antwort auf jede Form der Überwachung ist Verschlüsselung. Das heißt bewusst darauf zu achten, dass man verschlüsselte Webseiten benutzt und Apps verwendet, die ebenfalls auf Verschlüsselung setzen. Im Unternehmensbereich kann man das gezielt steuern, z.B. durch den Einsatz verschlüsselter VPNs, E-Mail-Verschlüsselung, u.ä.


Zielgerichtete Angriffe

Wie der Name schon sagt sind diese Angriffe gegen bestimmte Personen oder Unternehmen gerichtet und sind i.d.R. finanziell motiviert. Als unauffälliger Durchschnittsmensch wird man wahrscheinlich eher selten zur Zielscheibe. Sobald man aber einen gewissen Einfluss auf etwas hat, sei es eine politische Funktion, eine Führungsposition in einem Unternehmen oder andere verantwortungsvolle Aufgabe wahrnimmt, wie z.B. Wachpersonal o.ä., ist es nicht auszuschließen, dass man Opfer einer zielgerichteten Attacke wird. Opfer einer sogenannten „Cyberattacke“, wie es die Medien nennen würden.

Sich dagegen zu schützen ist schwer, da man mit allem rechnen muss. Ein Schutz dagegen beginnt bereits bei den heute üblichen Standardschutzmaßnahmen, wie sie teilweise in den vorangegangenen Abschnitten erwähnt wurden: Software regelmäßig updaten, Einfallstore schließen durch die Verwendung sicherer Passwörter, sowie den Einsatz von Firewalls auf verschlüsselte Kommunikation achten und gerade im Unternehmensbereich auf fortlaufende Bildungsmaßnahmen der gesamten Belegschaft setzen.


 

FAZIT

Die technischen Details moderner IT-Security sind sehr komplex. Man sollte sich aber keinesfalls zu früh in diesen Details verlieren oder sich dadurch vom Wesentlichen ablenken lassen. Egal ob Firma oder priva: Security ist definitiv angebracht aber man sollte sich nicht blind vor dem Unbekannten fürchten, sondern sich eine konkrete Frage stellen:

„Was möchte ich warum und vor wem schützen?“

Den Feind wird man nicht persönlich kennenlernen, in jedem Fall stehen aber Menschen mit bestimmten, meist finanziellen Motiven, dahinter. Um jenen Angreifern ein Gesicht zu geben, wurden in diesem Artikel vier Gruppen, deren Motive und Ziele zusammengefasst.

In jedem Fall ist es ratsam seine Software, egal ob Server oder Smartphone, auf dem aktuellen Stand zu halten, auf Verschlüsselung zu achten, den Hausverstand zu benutzen und sich mit der Thematik allgemein auseinander zu setzen. Denn Wissen ist Macht. Macht, um sich vor Angreifern und bösen Überraschungen zu schützen.

 

Bernhard R. Fischer

Bernhard R. Fischer begann seine Karriere als Netzwerktechniker, verantwortlich für den Aufbau eines österreichweiten IP-Backbones und später für die Entwicklung und den Betrieb der wichtigsten Internetservices für dieses Netzwerk, wie z.B. DNS und Email. Nach dem Wirtschaftsinformatikstudium auf der Universität Wien wurde er Forschungsmitarbeiter und Dozent an der Fachhochschule St. Pölten, in den Bereichen Computernetzwerke, Betriebssysteme und IT-Security. Seit 2017 ist er Security-Consultant bei der Firma Antares-NetlogiX GmbH.

Während seiner gesamten Karriere hat Bernhard an öffentlichen Projekten und Diskussionen teilgenommen, hat auf vielen Konferenzen Vorträge gehalten und an zahlreichen Open-Source-Projekten mitgewirkt, nicht nur als Fürsprecher, sondern auch als Software-Engineer und Entwickler. Sein Hauptaugenmerk liegt immer auf Robustheit und Qualität von Software und Lösungen. Akribisch recherchiert er viele Details und gibt dieses Wissen auch bereitwillig an alle Interessierten weiter.

Einige seiner eigenen Open-Source-Projekte befinden sich auf Github und manche Artikel auf seinem persönlichen Tech- & Society-Blog und auf Twitter. Bernhard ist außerdem sehr aktiv in der Yachtsegelbranche als Ausbildner und Schiffsführer, betreibt seine eigene Webseite und produziert den Fachpodcast Schiff – Captain – Mannschaft für Seglerinnen und Segler.

Profitieren Sie von unserem Insiderwissen im Bereich Netzwerk & IT-Sicherheit.
Mit unserem Newsletter erhalten Sie Informationen zu aktuellen Themen, Lösungen und Terminen aus erster Hand!

Newsletter abonnieren