Die Gefahr Opfer eines IT-Angriffs zu werden, ist groß. Oft genügt ein Einfallstor und die Sicherheit ist gefährdet. Wie sich Unternehmen schützen können und wie wichtig Security auch bei der Entwicklung von Software ist, erklärt Prof. Dr. Eric Bodden, Direktor des Fraunhofer IEM in Paderborn, Abteilung Softwaretechnik, und Vorstand des Heinz Nixdorf Instituts der Universität Paderborn.
m&w: Der Diebstahl von sensiblen Kundendaten, das Ausspähen von Betriebsgeheimnissen, Hacker-Angriffe auf Maschinen und Produktionsprozesse: Wie beurteilen Sie die aktuelle IT-Bedrohungslage für Unternehmen?
Dr. Eric Bodden: Leider muss man sagen, dass sich die Bedrohungslage auch für Unternehmen in den letzten Jahren weiter verschärft hat. Während Betriebsspionage schon lange ein Problem war, erlauben Bitcoin und Co. seit einigen Jahren der organisierten Kriminalität die schnelle Monetarisierung von Hackerangriffen über Lösegeldzahlungen. Es ist eines der großen Versäumnisse unserer Gesellschaft, dieses Problem nicht von Anfang an eingehegt zu haben: Wären Lösegeldzahlungen von Anfang an konsequent ausgeblieben, hätte sich dieses kriminelle „Geschäftsmodell” nie so weit entwickelt. Mittlerweile ist aber ein milliardenschwerer, arbeitsteiliger und hoch professioneller Markt daraus entstanden, der auch globalpolitisch problematisch ist, da hierdurch jedes Jahr Abermillionen Euro an Staaten wie Russland fließen. Für Unternehmen kann ein Ransomwareangriff existenzbedrohlich sein, wie man in der Region beim Fahrradhersteller Prophete sehen konnte.
m&w: Sie beschäftigen sich seit vielen Jahren mit der IT-Sicherheitsforschung. Wo sehen Sie den größten Bedarf für innovative IT-Sicherheitslösungen?
Dr. Eric Bodden: Es muss uns besser gelingen, Angreifern den Einstieg in unsere Systeme zu verhindern. Ein großes Problem ist dabei Phishing, bei dem mittels täuschend echter E-Mails Angestellte dazu verleitet werden, ihre Kennwörter auf Webseiten einzugeben, die der Angreifer kontrolliert. Da nun auch Angreifer ChatGPT etc. nutzen können, wird Phishing immer schwerer zu erkennen. Was mich hier positiv stimmt, ist, dass wir mittlerweile gut nutzbare und sichere Verfahren zur passwortlosen Authentisierung haben. Apple, Google und Microsoft haben vor einigen Wochen zeitgleich angefangen, sogenannte „Passkeys” anzubieten. Das sind automatisch generierte Schlüssel, die Sie sicher und mit einem Fingerabdruck geschützt auf Ihrem Handy oder in Ihrem Webbrowser abspeichern können. Ein Passwort braucht es dann nicht mehr, Sie loggen sich nur über einen Fingerabdruck ein. Damit laufen dann Phishing-Angriffe ins Leere – ein großer Sicherheitsgewinn!
m&w: „Security by Design” ist ein Konzept, das sicherstellt, dass Sicherheitsanforderungen bereits zu Beginn des Entwicklungsprozesses systematisch ermittelt und berücksichtigt werden, um spätere Aufwände zur Behebung von Sicherheitslücken zu verhindern oder zu minimieren. Wie beurteilen Sie den aktuellen Entwicklungsstand?
Dr. Eric Bodden: Die große Achillesferse der IT-Sicherheit ist seit Jahren die Software. Die allermeisten Angriffe nutzen eigentlich recht banale Schwachstellen in Anwendungssoftware aus. Hier müssen Unternehmen, die Software produzieren, systematisch umdenken und diese Software von Grund auf sicher entwickeln – eben mittels Security by Design. Der Stand der Forschung ist schon recht weit. Wenn Unternehmen ihre Softwareentwicklung nach dem aktuellen Stand der Forschung gestalten würden, wäre schon viel gewonnen und Softwareschwachstellen wären sehr viel weniger wahrscheinlich. Leider haben bisher Marktzwänge den Unternehmen eher die falschen Anreize gesetzt. Startups und KMU müssen mit einer Software oft die Ersten im Markt sein, um schnell Marktanteile zu gewinnen. Über Security denkt man dann oft erst nach, wenn das Softwareprodukt Erfolge feiert und eine breite Nutzerbasis findet – doch dann ist es für Security by Design schon zu spät. Die EU möchte hier noch in diesem Jahr mit dem sogenannten Cyber Resilience Act nachsteuern. Wenn dieser so umgesetzt wird, wie der aktuelle Entwurf aussieht, dann werden in Zukunft Unternehmen, die in der EU Software auf den Markt bringen, zunehmend strikte Mindeststandards im Hinblick auf die sichere Entwicklung einhalten müssen. Ein guter Zeitpunkt, um Security by Design endlich anzupacken und umzusetzen! Am Fraunhofer IEM beraten wir schon seit vielen Jahren sehr umfassend Unternehmen in diesen Prozessen.
Ein großes Problem in der sicheren Softwareentwicklung ist derzeit das Einbinden von unsicherem Programmcode von Drittanbietern. Im letzten Jahr führte die sogenannte Log4Shell-Schwachstelle dazu, dass schlagartig fast alle Java-Anwendungen weltweit unsicher wurden, weil alle die Programmbibliothek Log4J benutzten, die die Schwachstelle enthielt. Log4J wurde über Jahre von einem Freiwilligen im Rahmen seines Hobbies entwickelt, und ein Großteil der weltweiten Infrastruktur baut darauf auf! Wir müssen davon wegkommen, solchen eigentlich nicht vertrauenswürdigen Programmcode unbesehen in Produkte einzubinden. Auch hier wird der Cyber Resilience Act ansetzen. Auf technischer Ebene geschieht zurzeit ebenfalls sehr viel: So arbeiten wir am Heinz Nixdorf Institut aktuell an Verfahren, die in der Lage sind, solchen Drittanbietercode besser zu isolieren, sodass Angreifer weniger Schaden anrichten können, wenn sie Schwachstellen in diesem Code ausnutzen. Erfreulicherweise ist dieser Bereich weltweit sehr dynamisch und Gegenstand intensiver Forschung.
m&w: Das Internet of Things bietet immer mehr Kommunikations- und Vernetzungsmöglichkeiten. Dadurch erhöhen sich jedoch auch die potenziellen Risiken. Wie lassen sich Bedrohungen möglichst schon im Vorfeld erkennen, ohne dass es zu größeren Schäden kommt?
Dr. Eric Bodden: Wichtig ist, dass, wenn ein IT-Produkt eingesetzt wird – sei es ein IoT-Gerät oder auch „nur” eine Software – dass dies unter der genauen Betrachtung der möglichen Sicherheitsrisiken geschieht, die damit einhergehen. Das Standardwerkzeug hierzu ist die Bedrohungsanalyse. Hier werden zunächst mögliche Angreiferpersonas definiert: Wer könnte logischerweise angreifen wollen und warum und mit welchen Mitteln? Als Nächstes definiert man dann schützenswerte „Assets” und diskutiert, inwiefern diese aktuell bereits gegen diese Angreifer geschützt wären und wo man ggf. wie nachsteuern müsste. Konkret kann dies dann bedeuten, dass man ein IoT-Gerät nur in einer besonders geschützten Umgebung einsetzt oder seine Software härtet oder es vielleicht auch gar nicht verwendet, sondern durch eine sicherere Variante ersetzt. Die Fähigkeit, eine Bedrohungsanalyse durchzuführen, sollte für eigentlich alle Technologieunternehmen heute zum Handwerkszeug gehören. Und dieses Handwerk kann man schnell erlernen, auch hierzu bieten wir und andere Fortbildungen an.
m&w: Welche präventiven Maßnahmen helfen, Cyberangriffe in IT-Systeme zu erschweren?
Dr. Eric Bodden: Wegen der Ransomware-Problematik gilt, schützen Sie Ihre Daten. Machen Sie Backups, hierzu gibt es zahlreiche Empfehlungen. Idealerweise testen Sie sogar einmal einen „Kaltstart” aus solchen Backups. Und schränken Sie den Zugriff auf Daten ein: Geben Sie Ihren Mitarbeiterinnen und Mitarbeitern nur den Zugang, den sie benötigen, denn Angreifer könnten deren Privilegien missbrauchen. Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter gegen Phishing-Angriffe. Nutzen Sie Phishing-sichere Authentisierungsverfahren wie Passkey, wenn Sie können. Und setzen Sie so weit wie möglich, Software von professionellen, vertrauenswürdigen Unternehmen ein, die ihre Prozesse im Griff haben. Sie müssen Software regelmäßig aktuell halten, daher sollten die Anbieter über Jahre hinweg in der Lage sein, schnell und regelmäßig Sicherheitsupdates auszurollen.
m&w: Wie gelingt es, auch die Mitarbeitenden als Nutzer und Anwender mit dem notwendigen Know-how auszustatten?
Dr. Eric Bodden: Bei uns am Fraunhofer IEM bieten wir ein umfangreiches Schulungsprogramm an. Dieses zielt jedoch nicht auf Endanwender, denn die Forschung hat gezeigt, dass man diesen in Bezug auf Security nicht zu viel zumuten darf. Daher bin ich auch ein Fan von beispielsweise passwortlosen Authentisierungsverfahren. Wir schulen stattdessen alle möglichen Rollen in der Softwareentwicklung: Softwareentwicklerinnen und Softwareentwickler selbst, aber auch ihre Vorgesetzten wie Product Owners oder das Management. Auf diese Weise befähigen wir diese Gruppen, Software von Grund auf sicher zu entwickeln, und zwar so, dass die verbauten Sicherheitsmechanismen auch für Endanwender gut nutzbar werden. Vor diesem Hintergrund wird dann der Bedarf für die detaillierte Schulung der Endanwender stark reduziert. Auch das ist Teil von Security by Design.