••• Von Chris Haderer
Der digitale Wandel wird 2016 jede Branche erreichen”, sagte Hans Vestberg, President und CEO von Ericsson, im Frühjahr im Rahmen einer Keynote beim Mobile World Congress in Barcelona. Ericsson hat eine lange Vergangenheit als Telekom-Ausstatter und bemerkt laut Vestberg die aktuellen Marktveränderungen deutlich am eigenen Geschäftsumfeld: „Gemeinsam mit der gesamten Branche und unseren Kunden befinden wir uns im Wandel. Aktuell machen wir bereits 66 Prozent unseres Geschäfts mit Software und Dienstleistungen. Vor wenigen Jahren bildete die Hardware noch unser Hauptgeschäft. Heute sind die meisten unserer Wettbewerber IKT-Anbieter und nicht mehr die Telekommunikationsausrüster.”
Die Gesellschaft, so Vestberg, werde durch mobile Technologien, die Cloud und das Internet der Dinge rasant verändert – allerdings nicht immer zum Besten. Denn: Neue Technologien ziehen unweigerlich neue Sicherheitsbedrohungen nach sich, auf die sich Anbieter und Kunden vorbereiten müssen.
Öffentliche Systeme
Durch die fortschreitende Digitalisierung rücken auch Computersysteme ins Fadenkreuz von Cyber-kriminellen, die in öffentlichen Bereichen ihren Dienst tun. Laut dem Security-Lösungsanbieter Kaspersky Lab wurden Anfang des Jahres etwa Krankenhäuser das Opfer von Ransomware-Angriffen: Nachdem sich Erpresser-Software in einem Kliniknetzwerk eingenistet hat, können Systeme oder Dateien verschlüsselt werden, um im Anschluss Lösegeld von der Klinikleitung zu fordern. Laut Kaspersky Lab hatten im Frühjahr mehrere deutsche Krankenhäuser mit Ransomware-Vorfällen zu kämpfen. Die Folge: Zeitweise mussten Befunde per Telefon oder Fax anstatt digitalisiert übermittelt werden.
Während ein Krankenhaus in den USA das geforderte Lösegeld bezahlte, um die vom Erpressertrojaner verschlüsselten Dateien wieder freizubekommen, rät das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Betroffenen von Lösegeldzahlungen ab.
„Hinzu kommt, dass in Krankenhäusern modernste medizinische, mit Computertechnologie ausgestatte Geräte zum Einsatz kommen”, sagt Holger Suhl, General Manager D-A-CH bei Kaspersky Lab. „Dabei werden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt. Im schlimmsten Fall wäre dadurch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.”
Firewall im Zentrum
„Gezielte Angriffe werden immer alltäglicher”, sagt auch BJ Jenkins, CEO & President bei Barracuda Networks, einem Anbieter von Netzwerk-, E-Mail-Security und Backup-Lösungen, Mitte Mai im Rahmen der EMEA-Konferenz des Unternehmens. „Phishing ist der üblichste Ansatzpunkt einer hochentwickelten Multi-Vektor-Attacke, was Anti-Phishing-Technologien und die Aufklärung darüber enorm wichtig für die Sicherheit in den Unternehmen macht.”
Allerdings sind es nicht nur die aktuellen Bedrohungen, die Security-Experten nachdenklich stimmen, sondern auch das, was bald kommen wird. Denn: Die zunehmende Verlagerung von Prozessen und Anwendungen in die Cloud (ausgelöst nicht zuletzt durch Initiativen von Salesforce oder Microsoft mit der Office 365-Wolke) und das Internet der Dinge dämmern neue Gefahrenszenarien am Horizont herauf.
„Jeder wird der erste sein wollen, der das selbstfahrende Google-Auto hackt”, sagt Wieland Alge, General Manager EMEA bei Barracuda Networks. „Und jeder ist ein Angriffsziel, einfach nur weil er da ist.” Das betrifft die Smart-Home-Steuerung genauso wie autonome Kraftfahrzeuge, Kühlanlagen in Supermärkten oder Windräder: Jedes potenzielle Angriffsziel muss geschützt werden – und die Zahl der potenziellen Angriffsziele wächst permanent – im Wohnbereich beispielsweise aktuell um „intelligente” Stromzähler, sogenannte Smart-Meter.
Laut E-Control haben sich von bisher 250.000 Abnehmern rund 2.500 gegen eine Aktivierung der Weiterleitung ihrer Stromdaten an den Energieanbieter entschieden. „Niemand interessiert sich dafür, wann Familie Müller ihre Wäsche reinigt”, sagte Bernd Richter, Prokurist der Aspern Smart City Research (ASCR), vor Kurzem im Rahmen eines „LGP Smart City Talks” der Anwaltskanzlei Lansky, Ganzger & Partner. Aber: „Familie Müller soll aber die Möglichkeit haben, den niedrigsten Strompreis zu nützen.” Er musste allerdings auch zugeben: „Momentan sammeln wir über Sensoren mehr Daten, als wir verwerten. Das Ziel muss sein: nur jene Daten sammeln, die auch verwertet werden.” Klar sei allerdings auch: „Ohne Daten gibt es keine Forschung.”
Digitale Technologien und Vernetzung werfen nach Auffassung von Rechtsanwalt Gabriel Lansky und Hannes Tretter, Leiter des Ludwig Boltzmann Instituts für Menschenrechte und Of Counsel bei LGP, zwangsläufig Fragen des Datenschutzes und der Datensicherheit auf. „Die Bürger dürfen sich vor ungewollten Eingriffen in ihr Leben nicht fürchten. Es wäre ein Horrorszenario, wenn zivile Cops Mitmenschen bespitzeln und über Apps Beobachtungen im öffentlichen Raum melden”, sagte Lansky in seinem Statement beim Smart City Talk. Die „digitale Welt” dürfe nicht die „analoge Welt” verdrängen, Datenanwendungen dürfen nicht dazu führen, dass sich ein „digital genormter Mensch” ständig im Alarmzustand befindet und sein Leben nur mehr „digital bewegt” gestaltet, um persönliche Nachteile und Eingriffe in seine Privatsphäre zu vermeiden.
Vorausschauende Planung
„Im Prinzip ist es unerheblich, welche Installation geschützt wird”, sagt Alge. Wichtig ist nur: es muss geschützt werden. „Wenn ich ein Kühlregal sehe, dann sehe ich in Wahrheit eine Firewall”, verdeutlicht Alge die Problematik. Darüber hinaus sei es aber auch nicht unbedingt einfach, sich auf zukünftige Gefahren vorzubereiten und langfristige Sicherheitsstrategien zu entwickeln. Ein Beispiel: Vor dem Marktstart des iPhone im Jahr 2006 hätte niemand die Entwicklung des mobilen Online-Markts in dieser Art und Weise vorausgesagt – und auch nicht die daraus resultierenden Angriffsszenarien und Sicherheitsansprüche.
Neu aufkommende Technologien können Markt und Strategien in relativ kurzer Zeit radikal ändern. Als Entwickler von Security-Lösungen müsse man mindestens zwei bis drei Jahre vorausdenken, um auch den Produktzyklus nicht zu gefährden. „Das ist aber recht schwierig”, sagt Wieland Alge. Ein Beispiel dafür ist Office 365 von Microsoft, das „wir beinahe verschlafen hätten”, sagt Alge. Die Cloud-Version des Office-Pakets habe für eine weite Akzeptanz der Cloud an sich gesorgt, aber auch die Abläufe in Unternehmen geändert. „Die brauchen keine Spam-Firewalls mehr, sondern E-Mail-Scanner in der Cloud.”
Mittlerweile hat Barracuda Networks reagiert und bietet ein recht umfassendes Security- und Backup-Portfolio für Office 365. „Man muss seine Ressourcen dort einsetzen, wo sie am meisten nutzbringend sind”, sagt Alge.