Industriespionage 14.05.2013, 15:20 Uhr

Ein Alleskönner wie James Bond ist nicht genug zur Abwehr

Das Aufgabenspektrum der IT-Sicherheitsspezialisten in den Unternehmen befindet sich im rasanten Wandel. Unterschiedliche Bedrohungsszenarien, zielgerichtete Cyberattacken und ein ungebrochener Trend zur Industriespionage via Internet erfordern immer neue Lösungsansätze. Zur Abwehr der Cyberattacken sind manchmal James-Bond-Fähigkeiten gefragt.

Der Trend zur Industriespionage via Internet ist ungebrochen.

Der Trend zur Industriespionage via Internet ist ungebrochen.

Foto: dpa/Oliver Berg

Ira Winkler gilt als einer der führenden Köpfe unter den IT-Sicherheitsexperten – und wurde von US-Medien auch schon einmal als „moderner James Bond“ etikettiert. Doch Winkler, Bestseller-Autor und Präsident der Internet Security Advisors Group, verweist darauf, wie wenig ein solches Etikett den alltäglichen Aufgaben der IT-Sicherheitsverantwortlichen in Unternehmen heute gerecht wird.

Äußerst komplexes Handwerk

Mit der Welt von Topspion James Bond & Co habe laut Winkler die moderne Generation der Computerspione nur wenig zu tun. In der Realität handle es sich um ein äußerst komplexes Handwerk, berichtet Winkler, dem es offenbar gelang, physisch und technisch in einige der weltweit größten Unternehmen einzudringen. „Spione sind Wissenschaftler“, pointiert Winkler, und fügt hinzu: „Während Hacker sich als Künstler inszenieren, gehen Spione beim Sammeln von Informationen wissenschaftlich vor, weil sie Daten systematisch analysieren und auswerten.“

Die schlechte Nachricht: Das Risiko, zum Opfer von Datenspionage zu werden, lässt sich laut Aussage von Ira Winkler nicht grundsätzlich verringern. Jedoch könnten Unternehmen sensible Schwachstellen durch adäquate Gegenmaßnahmen zumindest gezielt minimieren. Folgt man indes den von Winkler skizzierten Beispielen, dass selbst einfache Basismaßnahmen wie nicht leicht zu erratende Passwörter von Unternehmen sträflich vernachlässigt werden, so mehren sich die Zweifel, ob „die Bösen“ im Wettlauf gegen Cybercrime nicht am Ende die Nase immer wieder vorne behalten.

Peer-to-Peer-Kommunikation eröffnet zahlreiche Angriffsmöglichkeiten

„Der Security Professional ist dann erfolgreich, wenn es ihm hinter den Kulissen gelingt, den scheinbar langweiligsten Job der Welt zu erledigen“, bilanziert Winkler. Er plädiert für eine in der Tiefe des Internetraums aufgestellte Strategie (Defense-in-Depth), um der äußerst professionell vorgehenden Datenspionage zu begegnen, die sich neben der technischen Attacke nicht selten durch raffiniertes Social Engineering auszeichnet.

Auch andere IT-Sicherheitsexperten widmen sich den handfesten Problemen im Alltag. So verweist Charlie Miller darauf, dass sich zahlreiche Schwachstellen finden lassen, wenn etwa unterschiedliche Geräte mit unterschiedlichen Betriebssystemen via Near Field Communication (NFC) Daten untereinander austauschen. Spektakuläre Szenarien, wie die Abhörattacke auf das Mobilfunkgerät des Nachbarn in der U-Bahn, seien allerdings unrealistisch, so wie eben ein James-Bond-Film. Dennoch eröffne gerade die Peer-to-Peer-Kommunikation zahlreiche Angriffsmöglichkeiten, um anderen Nutzern etwa via Android gezielt Schadsoftware unterzuschieben.

Zahlreiche Einfallstore für begabte Hacker

Felix „FX“ Lindner, der renommierte deutsche Hacker und Gründer von Recurity Labs, hat sich der Routerwelt des Telekommunikationsausrüsters Huawei angenommen. Dabei bietet nicht nur die chinesische Sprache zahlreiche Einfallstore für begabte Computerhacker, sondern auch löchrige Imageformate, mangelhafter Code oder die unzureichende Absicherung von Protokollen. „Dadurch benötigt der Hacker gar keine Backdoor-Funktionen mehr, um erfolgreich zu sein“, pointiert Lindner.

Welche neue Funktion folglich dem „Chief Information Security Officer“ (CISO) im Unternehmen zufällt, zwischen technischem Abwehrspezialist und Generalistenjob, der zunehmend auch als Manager und „Business Enabler“ auftreten soll, das bringt Lindner so auf den Punkt: „Seine Rolle wird mehr und mehr risikozentrisch und weniger technisch. Auch muss der CISO zunehmend die Frage des Return-on-Invest beantworten, da Sicherheit fast überall erst einmal nur ein Kostenfaktor ist.“

Lage wird sich in absehbarer Zeit kaum entspannen

Dass erfolgreiches Eindringen ohnehin nicht zwingend auf den Cyberspace angewiesen ist, unterstreicht Jason E. Street, indem er via Social Engineering in Firmengebäude eindringt, um dort – natürlich nur potenziell – den maximalen Schaden anzurichten. Denn nicht selten versagen in Hochsicherheitsumgebungen vermeintlich ausgeklügelte Abwehrmechanismen.

So könnte sich Street wiederholt unbefugten Zutritt zu Firmenbüros und den dort offen herumliegenden Datenlandschaften verschaffen. Er hat eine klare Aussage zum James-Bond-Mythos parat: „Warum schimpfen alle nur über die chinesischen Spione, wo doch die USA selbst zu den erfolgreichsten Datensammlern gehören?“

Sicherheitsspezialist Tim Burrell von Microsoft wiederum untermauert, dass sich beim IT-Konzern in puncto IT-Sicherheit inzwischen jede Menge getan hat, um den professionellen Datenspionen und Cyberkriegern das Leben zu erschweren. So sei es jetzt deutlich schwieriger und teurer, das neue Betriebssystem Windows 8 anzugreifen. Es sei, führt der Experte weiter aus, sogar das sicherste, das es jemals aus dem Hause Microsoft gegeben habe.

Fazit: So bleibt sie uns also weiterhin erhalten, die filmische Aura des Alleskönners James Bond. Allerdings rücken auch hier – wie im Film – die großen Widersacher erneut vor auf Los: Denn mit zunehmender Verbreitung geraten zum Beispiel die neuen App-Funktionen aus dem Hause Microsoft bei professionellen Hackern verstärkt ins Visier. Für Security Professionals bedeutet dies, dass sich die Lage in absehbarer Zukunftwohl kaum entspannen dürfte.   LOTHAR LOCHMAIER

Ein Beitrag von:

  • Lothar Lochmaier

Stellenangebote im Bereich Softwareentwicklung

MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Software Engineer, Xamarin Mobile Apps (m/f) Innsbruck (Österreich)
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Development Engineer (m/w) Innsbruck (Österreich)
Airbus Defence & Space-Firmenlogo
Airbus Defence & Space Galileo Systemingenieur (d/m/w) Raum Friedrichshafen
Capgemini Engineering-Firmenlogo
Capgemini Engineering Systemingenieur Autonomes Fahren (m/w/d) Wolfsburg
Capgemini Engineering-Firmenlogo
Capgemini Engineering Systemingenieur Kommunikationssysteme (m/w/d) Kiel
WILO SE-Firmenlogo
WILO SE (Senior) Software-Entwickler für Embedded Software (w/m/d) Dortmund
Fachhochschule Nordwestschweiz FHNW-Firmenlogo
Fachhochschule Nordwestschweiz FHNW Projektingenieur*in / Hardware- und Softwareentwickler*in Medizintechnik Muttenz (Schweiz)
FERCHAU GmbH-Firmenlogo
FERCHAU GmbH DevOps Engineer (m/w/d) Berlin
FERCHAU GmbH-Firmenlogo
FERCHAU GmbH Ingenieur / Techniker / Informatiker (m/w/d) Dresden
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen System and Requirements Engineer (m/w/d) Schwieberdingen bei Stuttgart

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.