SICHERHEIT: Sorglos im Cyberspace

Täglich bewegen wir uns im Internet. Dies bringt Vorteile – und birgt Risiken, wie ETH-Experte Stefan Frei am Parlamentariertreffen der Kantonalen Offiziersgesellschaft St. Gallen aufzeigt.

Richard Clavadetscher
Drucken
Teilen

Richard Clavadetscher

richard.clavadetscher@tagblatt.ch

Es ist natürlich Zufall, dass der Ständerat in derselben Woche eine Motion für den Aufbau eines nationalen Cybersecurity-Kompetenzzentrums sehr deutlich ­angenommen hat – und die Offiziersgesellschaft des Kantons St. Gallen (KOG) ihr Parlamentariertreffen unter das Thema Cyberrisiken und Cyberabwehr stellte. Aber es zeigt immerhin, dass man sich – wenn auch reichlich spät – inzwischen der Risiken bewusst wird, die vom Internet und den darauf basierenden Technologien ausgehen.

Es geht nicht nur um den eigenen PC

Zwar ist heute Allgemeingut, dass Viren und Trojaner von unserem PC Daten auslesen und das Gerät gar fernsteuern können. Dass aber die Bedrohung viel grösser und umfassender ist, zeigte eindrücklich das Input-Referat der KOG-Veranstaltung im Grand Resort Bad Ragaz, gehalten von Stefan Frei, Dozent für Cyber Security an der ETH.

In nur zwei Jahrzehnten haben das Internet und darauf basierende Technologien Gesellschaft und Wirtschaft förmlich umgekrempelt. Entsprechende Produkte werden zudem immer günstiger und leistungsfähiger. Und weil heute fast jeder Zugang hat zu den neusten Technologien, wächst ihre Verbreitung ent­sprechend rasant – und damit der Umfang dessen, was zu schützen ist vor unbefugtem Zugriff.

Um diesen Schutz auch nur einigermassen zu gewährleisten, sind mancherlei Hürden zu überwinden. Es beginnt damit, dass die Risiken im Cyberspace etwas Abstraktes sind, dem Menschen jedoch grundsätzlich die Fähigkeit abgeht, mit abstrakten Risiken umzugehen. Er hat dies im Laufe der Evolution nie lernen müssen. Entsprechend sorglos geht er damit um.

Darüber hinaus ist die Software-Industrie laut Frei immer noch unfähig, sichere Produkte herzustellen. Sie lehnt die Schaffung von Sicherheitsstandards ab – etwa mit dem Argument, diese hemmten den Fortschritt. Lieber gibt sie bei Zwischenfällen jeweils dem Nutzer die Schuld, der unsachgemäss gehandelt habe.

Eine reale Bedrohung für die Sicherheit sieht Frei im sich rasant entwickelnden «Internet of Things». Während uns nach und nach bewusst wird, dass unser PC Bedrohungen ausgesetzt ist und entsprechend geschützt werden muss, taxierten wir die Produkte des «Internet of Things» naiv als «cool» und sähen die Risiken nicht. Schliesslich erwähnte Frei auch noch den Datendiebstahl. Durchschnittlich alle 17 Tage ­ereigne sich so ein Fall mit im Schnitt 14 Millionen betroffenen Accounts. Kriminelle und staatliche Geheimdienste wüssten die sich bietenden Gelegenheiten längst zu nutzen. Sie suchten für ihre Angriffe immer nach Schwachstellen und umgingen Sicherungen gezielt. Frei verwies zur Veranschaulichung etwa auf ein Meisterstück aus der Vor-Internet-Zeit, als es den Sowjets gelang, in die in US-Botschaften stehenden IBM-Schreibmaschinen einen Sender einzubauen, um so mitlesen zu können, was dort zu Papier gebracht wurde.

Unser heutiges Leben sei ­geprägt davon, dass wir Systeme benutzten, über die wir nur beschränkte Kontrolle hätten, so Frei weiter. Kunden- wie auch Kreditkarten-Systeme sind Teil dieses Bereichs. Ebenfalls wenig oder gar keine Kontrolle haben wir über Zulieferketten bei der Herstellung von modernen Produkten bis hin zu den Gadgets. Über diese Zulieferketten könnten Komponenten mit Schadenspotenzial ins Produkt kommen.

Einen grossen Schwachpunkt bezüglich Sicherheit sieht Frei darin, dass im Cyber-Bereich kaum standardisierte Normen und Prüfverfahren existieren, wie sie die Industrie sonst überall und insbesondere in sicherheitsrelevanten Bereichen (Aviatik, Medizinaltechnik) längst anwende. All dies vor Augen, dürften wir uns keiner Illusion hingeben, so Frei. Wir müssten vielmehr davon ­ausgehen, dass Teile unserer ­kritischen Infrastruktur längst kompromittiert seien.

Cyber-Test-Infrastruktur wird kommen

Für den Experten ist deshalb klar, dass die Staaten nicht darum herumkommen werden, eine Cyber-Test-Infrastruktur für Hard- und Software zu entwickeln. Dass dies nicht zum Nulltarif zu haben sein wird, beginnt inzwischen auch der Politik einzuleuchten.

Die von Fernsehjournalist Hanspeter Trütsch im Anschluss an das Referat geleitete Podiumsdiskussion mit Nationalrat ­Marcel Dobler (FDP/SG), Peter Baumberger, CEO VRSG, und Oberst i Gst Thomas Bögli von der Cyber-Abwehr des VBS zeigte einerseits auf, wie sehr Cyber-Sicherheit auch in den militärischen Bereich hineinspielt, anderseits wie sehr wir noch am Anfang stehen, wenn es darum geht, unser Land, aber auch jeden Einzelnen von uns vor den ­mannigfachen Bedrohungen im ­Cyberspace zu schützen.