Braunschweig. . Der Informatiker Ulrich Klages von der Ostfalia in Wolfenbüttel erläutert die Erkenntnisse zum Datenklau.
Was passiert, wenn professionelle Hacker in komplexe Systeme wie die Trinkwasserversorgung eindringen?
Dies fragt unser Leser Marc Röthig aus Königslutter.
Die Antwort recherchierte
Stefan Simon
Der 20-Jährige aus Hessen hatte im Dezember private Daten hunderter Politiker, Prominenter und Webstars ins Netz gestellt. Bei den veröffentlichten Daten waren keine dabei, die der Öffentlichkeit schaden könnten, aber was passiert, wenn öffentliche Einrichtungen wie die Trinkwasserversorgung oder das Netz der Deutschen Bahn angegriffen werden?
Ulrich Klages, Dekan der Fakultät Informatik und Datenschutzbeauftragter der Ostfalia in Wolfenbüttel, erklärt im Interview mit unserer Zeitung, wie sicher die Netze öffentlicher Einrichtungen sind und wie sich jeder vor einem Hackerangriff schützen kann.
Herr Klages, der Datenklau von einem 20-Jährigen aus Hessen ist nicht der erste Angriff. In der Vergangenheit wurden IT-Systeme von Massenmedien, Ministerien oder Unternehmen gehackt. Kann man sich dagegen wehren und solche Angriffe verhindern?
Zunächst einmal war das kein Angriff auf hoch geschützte Systeme. Der 20-Jährige hat wohl auf gewöhnliche Accounts in den Sozialen Medien, auf E-Mail-Systeme oder der Cloud zugegriffen. Er hat sich vielleicht Passworte rausgesucht, die auf schwarz verfügbaren Listen stehen. Wer lange sucht, findet solche Listen im Netz. Am besten schütze ich mich, wenn ich sichere, etwas komplizierte Passwörter wähle und zwar für jeden Dienst ein eigenes. Der zweite Schritt – und das fordert auch die Politik – ist die Zwei-Faktoren-Authentisierung. Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, sowie Passwort und TAN beim Online-Banking. Der dritte Schritt wäre, sensible Daten, die mir schaden könnten, nicht auf dem Rechner zu hinterlegen.
Wie sicher sind Systeme von öffentlichen Einrichtungen wie Straßen- und Bahnverkehr sowie die Trinkwasserversorgung?
Meines Erachtens sicher, wenn kryptografische Verfahren eingesetzt werden. Dabei erhalten die Systeme Befehle über Netzwerke, an denen ein Zertifikat hängt. Dieses Zertifikat wird mit einem geheimen, privaten Schlüssel vom Befehlsgeber berechnet. Das befehlsempfangende System erhält bei der Inbetriebnahme einen öffentlichen Schlüssel, der zum geheimen Schlüssel passt. Bedingt durch kluge Mathematik ist es praktisch unmöglich, den geheimen Schlüssel aus dem öffentlichen Schlüssel zu berechnen. Der öffentliche Schlüssel kann jedem zugänglich sein, der eine verschlüsselte Nachricht vom Besitzer des privaten Schlüssels empfangen will. Dabei muss sichergestellt sein, dass der öffentliche Schlüssel auch wirklich dem Absender zugeordnet ist – dann ist sicher, dass die mit dem Zertifikat gesicherte Nachricht auch wirklich unverändert vom gewünschten Absender stammt. Beispielsweise arbeiten Systeme der Eisenbahn mit solchen Zertifikaten, wenn die Datenübertragung über leicht zugängliche Leitungswege erfolgt. Auch in der Automobilbranche wird mit Zertifikaten die Datenübertragung für die neuen „connectivity“-Dienste abgesichert.
Was passiert, wenn professionelle Hacker trotzdem eindringen?
Dann hat man ein Problem, aber bei einem guten System ist das Eindringen nicht möglich, vielleicht nur punktuell, aber weit kommen Hacker nicht. Das liegt daran, dass beispielsweise Energieversorgungsnetze keine Fernsteuermöglichkeit haben. Das heißt, jemand muss vor Ort sein, um überhaupt in das Netz eindringen zu können. Nur die Netzleitzentralen in Braunschweig und Wolfsburg sind angreifbar, aber die Mitarbeiter vor Ort können den Störfall per Hand beheben. Außerdem sind Betreiber von kritischen Infrastrukturen im Sinne des IT-Sicherheitsgesetzes verpflichtet, eine Kontaktstelle zu benennen, IT-Störungen zu melden, den Stand der Technik umzusetzen und die alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen.
Wie können sich Unternehmen schützen?
In der Regel trennen sie das innere System, das Intranet, vom Internet durch ein zwischengeschaltetes Netzwerk mit nur den Systemen, die einen Zugriff aus dem Internet benötigen. So etwas nennt man demilitarisierte Zone. Hierzu zählen der Webserver oder E-Mail-Server. Sie werden vom Rechenzentrum eines Unternehmens verwaltet und sollten unbedingt starke Passwörter haben. Arbeitsplatzrechner im Intranet greifen auf das Internet zu, in dem sie über Filterrechner in der demilitarisierten Zone gehen; diese Rechner nennt man Proxyserver. Sie können den Internetzugriff vom Webbrowser auf unerwünschte Inhalte überprüfen und eventuell blockieren. An Arbeitsplätzen mit besonders wichtigen Daten sollte außerdem mit der Zwei-Faktoren-Authentisierung gearbeitet werden und Daten durch Verschlüsselung geschützt werden.
Wie hackt man sich in Systeme ein?
Ich würde normalen Nutzern eine E-Mail mit einem Anhang schicken. Darin verstecke ich eine Schadsoftware, zum Beispiel einen Virus, es muss aber ein neuer sein, den der Virenscanner nicht kennt; das wäre ein Zero-Day-Exploit-Angriff. Das ist ein Angriff, der am selben Tag erfolgt, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird. Dann hoffe ich vielleicht, dass sich später der Administrator einloggt, vielleicht, weil sich der angegriffene Computer komisch verhält. Dann versuche ich Passwörter zu ergaunern und an anderen Systemen auszuprobieren. Oder ich lasse meine Schadsoftware mir gleich die interessanten Daten aus diesem Rechner über das Internet schicken.
Welche Schutzmechanismen gibt es gegen solche Angriffe?
Unternehmen sollten den Virenscanner aktualisieren, ihre Mitarbeiter schulen und immer genau hinsehen, von wem die E-Mail stammt. Was auch hilft, ist die Technik „Sandboxing“. Das Programm errichtet auf dem Computer einen eigenen abgeschotteten Bereich. Hier können Mailanhänge geöffnet werden und das Verhalten wird automatisiert beobachtet. Die unsichere Aktion wird in diesem abgesicherten Bereich des Computers ausgeführt. Somit bleibt der Computer sicher und stabil.
