Prof. Dr. Eric Bodden zum Thema IT-Sicherheit
Immer wieder werden Bürger und gro?e Einrichtungen zum Ziel von Cyber-Kriminellen – so etwa Ende 2019 medienwirksam die Universit?t Gie?en. Welche Schwachstellen werden hier genutzt und wie arbeitet Schadsoftware? Wodurch lassen sich die eigenen Systeme schützen? IT-Sicherheitsexperte Prof. Dr. Eric Bodden gibt Einblicke und Tipps, sagt, welche Ma?nahmen er von der Politik erwartet, und erkl?rt, welchen Beitrag seine Forschung und der Paderborner ?Tag der IT-Sicherheit“ leisten wollen.
Herr Bodden, Ende letzten Jahres wurde die Justus-Liebig-Universit?t Gie?en Ziel eines Angriffs von Cyber-Kriminellen. Um Schlimmeres zu verhindern, wurden alle Uni-Server herunterfahren und die Hochschule war zeitweise komplett offline. So lie? sich vermeiden, dass die eingesetzten Schadprogramme ?Emotet“ und ?Ryuk“ ihre Wirkung entfalten und massenhaft Daten verschlüsseln konnten. In anderen F?llen waren Cyber-Angriffe bereits erfolgreich. Welche IT-Schwachstellen nutzen Kriminelle bei gro?en Einrichtungen derzeit?
Eric Bodden: Moderne Malware wird oft arbeitsteilig entwickelt und kommt als Baukasten daher. Es gibt dann viele Varianten, die verschiedenste Schwachstellen in unterschiedlichen Softwaresystemen ausnutzen. Die wohl bekannteste Schwachstelle, die Emotet ausnutzte, lag in Microsofts Implementierung des SMB-Protokolls. Der Server Message Block ist ein Netzprotokoll für beispielsweise Dateidienste in Rechnernetzen und erlaubt den Zugriff auf Dateien und Verzeichnisse, die sich auf einem anderen Computer befinden. Durch das SMB-Protokoll lie?en sich viele Windows-Systeme ausnutzen. Die Schwachstelle wurde durch den vom US-Auslandsgemeindienst NSA entwickelten Exploit ?EternalBlue“ bekannt. Der Exploit wurde der NSA gestohlen und 2017 publik gemacht. Zu diesem Zeitpunkt stand von Microsoft bereits ein Patch bereit, wurde aber offenbar auf einer gro?en Anzahl von Systemen nicht zeitnah eingespielt. So hatte Emotet dann leichtes Spiel.
Architektur einer Cyber-Attacke: Wie arbeitet Schadsoftware wie ?Emotet“ und ?Ryuk“?
Bodden: Aktuelle Schadsoftware ist relativ perfide. So liest Emotet beispielsweise auf infizierten Rechnern E-Mail-Postf?cher aus, um dann den darin enthaltenen Kontakten zielgerichtete Mails zu schicken, die aussehen als k?men sie direkt von der Person, der der infizierte Account geh?rt. Diese Phishing-Mails enthalten dann z. B. Auszüge aus real versandten E-Mails. Das Ziel dieser Mails ist immer, die Empf?nger dazu zu verleiten, auf bestimmte Anh?nge oder Links zu klicken. Hierdurch wird die Schadsoftware dann auch beim Empf?nger aktiv. Neuere Versionen von Schadsoftware nutzen gleich eine ganze Reihe von Verbreitungsvektoren und versuchen beispielsweise, Schwachstellen direkt über eine WLAN-Verbindung auszunutzen. Da genügt es dann schon, mit einem ungepatchten Rechner im falschen Netzwerk zu sein, um infiziert zu werden.
Ob Universit?t, Industrieanlage oder Verkehrsleitsystem: Durch welche technischen und organisatorischen Ma?nahmen lassen sich softwaregesteuerte und vernetzte Systeme derzeit am effektivsten vor Cyber-Angriffen schützen?
Bodden: Wie oben beschrieben ist eine wichtige Schwachstelle leider der Faktor Mensch. Eine erste wichtige Ma?nahme ist daher aktuell, die Besch?ftigten so zu sensibilisieren, dass sie Phishing-Mails besser erkennen. Mit aktueller Schadsoftware ger?t man hierbei jedoch an seine Grenzen, da man die E-Mails eben nicht mehr sofort als F?lschungen erkennt. Ein weiterer wichtiger Punkt ist daher das schnelle und m?glichst automatisierte Einspielen von Sicherheitsupdates. Hierzu gibt es mittlerweile ausgefeilte Systeme, mit denen auch tausende Rechner gleichzeitig administriert werden k?nnen. Oftmals besteht aber das Problem, dass bestimmte Sicherheitsupdates nur mit sogenannten Feature-Updates zu haben sind – und diese sind unter Umst?nden ungewollt, da sie eine Umstellung der gewohnten Arbeitsabfolgen nach sich ziehen. Hier sind daher auch die Softwarehersteller gefragt, solche Updates besser voneinander zu entkoppeln.
Aktuelle Ransomware verschlüsselt regelm??ig die Daten auf den infizierten Systemen und verlangt dann L?segeld – üblicherweise in Form von Bitcoins. Man kann solche Systeme eigentlich kostenlos wiederherstellen, wenn aktuelle Backups existieren. Eine systematische Backupl?sung geh?rt nicht nur aus diesem Grund heute in jede Unternehmens-IT. Um das Gesch?ftsmodell der Ransomware-Entwickler zu unterbinden, ist aber auch die Politik gefragt: Es ist heutzutage offensichtlich, dass Kryptow?hrungen wie Bitcoin in erster Linie der organisierten Kriminalit?t dienen. Der Nutzen für Privatleute und Unternehmen ist hingegen verschwindend gering. Daher sollte der Gesetzgeber meiner Meinung nach ein fl?chendeckendes Verbot für solche Technologien aussprechen.
Was ist zu tun, wenn es dennoch zum Cyber-Angriff kommt?
Bodden: In F?llen wie dem an der Universit?t Gie?en zeigte sich, dass noch Schlimmeres verhindert werden konnte, indem viele Rechner relativ frühzeitig nach den ersten erkannten Angriffen heruntergefahren wurden. Damit wird die Infektion zumindest einged?mmt. Die potenziell infizierten Festplatten der Systeme k?nnen dann ?offline“ bereinigt werden, also ohne sie aktivieren zu müssen. Hierzu sollten unbedingt Expertenteams hinzugezogen werden. Glücklicherweise gibt es mittlerweile auch in Deutschland einige Unternehmen, die auf diese sogenannte Forensik spezialisiert sind.
In der von Ihnen geleiteten Fachgruppe ?Softwaretechnik“ am Heinz Nixdorf Institut der Uni Paderborn und im Kompetenzbereich ?Digital Security“ des SICP - Software Innovation Campus Paderborn setzen 360直播吧 und Ihre Kollegen bereits am Anfang an: bei der Entwicklung von Softwaresystemen. Welche Ziele verfolgen 360直播吧 mit Ihrer Forschung?
Bodden: Schadsoftware hat heute vor allem deswegen so leichtes Spiel, weil in aktuellen Systemen unz?hlige Schwachstellen vorhanden sind. 360直播吧 entstehen beispielsweise durch falsche Annahmen bezüglich kryptografischer Protokolle oder der Sicherheitsarchitektur, vor allem aber durch Programmierfehler. Um diese Fehler systematisch zu vermeiden, ben?tigt man einen durchgeplanten Ansatz zum sogenannten Secure Software Engineering. Hierbei wird der sonst übliche Softwareentwicklungsprozess um eine Reihe von Security Touch-Points erweitert, an denen mittels systematischer Prozesse oder effektiver Werkzeuge die IT-Sicherheit entsprechend beachtet und erh?ht wird.
Seit Ende 2019 f?rdert die EU Ihr Forschungsprojekt ?CodeShield“. Was untersuchen 360直播吧 hier?
Bodden: Das Ziel des Projekts ist die Gründung der CodeShield GmbH, einer Ausgründung der Universit?t Paderborn und des Fraunhofer-Instituts für Entwurfstechnik Mechatronik (IEM), der initial neben mir selbst drei ehemalige wissenschaftliche Mitarbeiter angeh?ren werden. Die Einrichtung wird ein Softwarewerkzeug entwickeln und vertreiben, mit dem Unternehmen ihre Software-Lieferkette absichern k?nnen. Das ist auch zwingend notwendig, denn: Heutige Softwaresysteme bestehen nur zu circa 10 Prozent aus selbstgeschriebenem Programmcode. Rund 90 Prozent werden beispielsweise über das Einbinden von Open-Source-Bibliotheken realisiert. Aber diese Bibliotheken haben oft Schwachstellen – und die werden regelm??ig prominent bekannt und daher schnell ausgenutzt. Setzt mein System eine anf?llige Bibliothek ein, kann diese das System direkt angreifbar machen – teilweise genügt es dafür schon, dass die Bibliothek einfach nur eingebunden wurde.
Die L?sung von CodeShield erlaubt es Unternehmen, nicht nur zu erkennen, ob sie verletzliche Komponenten einsetzen, sondern auch, ob diese so eingesetzt werden, dass die jeweilige Schwachstelle für das System relevant ist und daher ein Update eingespielt werden muss. Dies hilft Unternehmen, ihre Systeme besser zu sichern und signifikant Kosten zu sparen. Als erste L?sung am Markt wird Codeshield hierbei auch Schwachstellen in einem Library-Code erkennen, der neu kompiliert oder zusammengestellt wurde.
Quantencomputer und Co.: Welche neuen IT-Techniken sind derzeit für Sicherheitsl?sungen besonders Erfolg versprechend?
Bodden: Die praktische Anwendung von Quantencomputern scheint immer noch Jahrzehnte entfernt, wenn sie denn überhaupt einmal kosteneffektiv m?glich werden sollte. Und selbst wenn es sie g?be, würden diese Computer in Sachen IT-Sicherheit eventuell mehr Probleme verursachen als L?sungen aufzeigen, denn dann würden z. B. Verschlüsselungsalgorithmen wie RSA unbrauchbar, da Quantencomputer sie leicht brechen k?nnten.
Es gibt aber signifikante Fortschritte auf vielen Feldern der IT-Sicherheit. Im meinem eigenen Gebiet, der Softwaretechnik, wurden in den letzten Jahren gro?artige Fortschritte in Sachen Build- und Testautomatisierung erzielt. So bef?higen wir heute schon Unternehmen, weitaus schneller wesentlich gr??ere Softwaresysteme zu bauen – und zwar kontrolliert und unter Einhaltung von Best Practices in Bezug auf die IT-Sicherheit.
Fortschritte in der angewandten Kryptografie wiederum erlauben beispielweise spannende neue Wege zu mehr Datensparsamkeit. Ein praktisches Beispiel ist etwa der elektronische Personalausweis: Mit diesem k?nnen Bürger einen Altersnachweis führen ohne ihre Identit?t preisgeben zu müssen. Daten, die so eingespart werden, k?nnen auch nicht gestohlen werden – ein wichtiger Schritt zu mehr Security by Design.
Am 18. und 19. M?rz richtet der SICP bereits zum 15. Mal den ?Tag der IT-Sicherheit“ aus. Was erwartet Interessierte hier und was wollen 360直播吧 mit dem Veranstaltungsformat erreichen?
Bodden: Die Veranstaltung richtet sich prim?r an Security-Verantwortliche und Interessierte aus Unternehmen und Verb?nden. Wir bieten auch dieses Jahr wieder einen spannenden Mix aus Vortr?gen aus der angewandten Forschung und der Praxis – mit einem breiten Spektrum von technischen bis hin zu juristischen Themen. In 360直播吧s werden einzelne Themen dann interaktiv weiter vertieft. Wir freuen uns auf Ihre Teilnahme!
Interessierte k?nnen sich noch bis zum 11. M?rz für den ?Tag der IT-Sicherheit“ anmelden: bit.ly/TdITS20.
Interview: Simon Ratmann, Stabsstelle Presse und Kommunikation
Titelfoto: madartzgraphics, Darwin Laganzon / Pixabay / CC0 1.0, https://creativecommons.org/publicdomain/zero/1.0/deed.de