Mit dem internationalen Safer Internet Day wird an diesem Dienstag weltweit für mehr Sicherheit im Netz geworben. Wo die Gefahren stecken, was sich technologisch tut und wie sich Privatnutzer schützen können: Ein Gespräch mit Prof. Tobias Hoßfeld (41), Inhaber des Lehrstuhls Informatik III an der Uni Würzburg und Experte für Kommunikationsnetze, und seinem wissenschaftlichen Mitarbeiter Nicholas Gray (33).
Frage: Fast jede Woche werden neue Datenlecks gemeldet. Ist das Internet "löchriger" geworden?
Tobias Hoßfeld: Es ist komplexer geworden. Dadurch gibt es mehr Angriffsmöglichkeiten.
Nicholas Gray: Heute sind ja nicht mehr nur PCs und Handys am Internet, sondern auch smarte TV-Geräte, Autos, schlaue Kühlschränke… Und überall, wo "smart" draufsteht, kann man sagen: potenziell angreifbar.
Denkbar, dass über den Fernseher das Wohnzimmer ausspioniert wird?
Gray: Ja… Wenn der Fernseher eine Kamera oder ein Mikrofon für die Sprachsteuerung hat, könnte diese verwendet werden, um Sie aktiv auszuspionieren.
Ist die Bedrohung durch Hacker wirklich so groß oder wird sie von den Medien übertrieben?
Hoßfeld: Dass die Bedrohung sehr groß ist, sieht man ja an den aufgedeckten Datenskandalen. Es passieren viele massive Angriffe im Internet. Als Endnutzer bemerken Sie das häufig gar nicht. Schlimm wird es natürlich für den privaten Nutzer, wenn sich jemand in den Rechner einhackt und ihn missbraucht. Wenn Daten abgegriffen oder unter falschem Namen E-Mails verschickt werden.
Wo und wie finden denn die häufigsten Attacken statt?
Gray: Da ist zu unterscheiden zwischen breit angelegten Attacken, die automatisiert gefahren werden, im Vergleich zu wirklich gezielten Angriffen, wo Leute auf ein ganz bestimmtes Ziel hinarbeiten.
Breit gestreut sind dann zum Beispiel Phising-Mails unter einem falschen Absender?
Gray: Ja, Phising-Mails oder auch Botnetze, die verstärkt Kameras übernehmen, die ans Internet angeschlossen sind. Das sieht man immer häufiger. Die Angreifer versuchen häufig, die Spanne auszunutzen, die entsteht zwischen dem Bekanntwerden einer neuer Sicherheitslücke und dem Schließen. Bis auf jedem PC der Welt ein neues Update installiert ist, vergeht leider viel Zeit.
Und was wäre eine spezielle und gezielte Attacke?
Gray: Das war zum Beispiel "Stuxnet" – ein Virus, den die US-Regierung geschrieben hat, um das iranische Atomwaffenprogramm lahmzulegen.
Gibt es bestimmte Maschen, die besonders häufig eingesetzt werden?
Gray: Das ist zielabhängig. Es reicht von der normalen Spam-Mail, die leicht als solche identifiziert werden kann, bis hin zur clever getarnten Falsch-Mail, indem jemand Ihr Facebook-Profil durchforstet oder auf bestimmten Seiten Verwandte sucht und sich als solcher ausgibt. Das sind gezielte Angriffe, die 1:1 auf eine bestimmte Person zugeschnitten sind.
Ist hier die kriminelle Energie größer geworden?
Gray: Seit das Internet kommerziell geworden ist, hat die kriminelle Energie zugenommen – weil es sich jetzt rentiert.
Hoßfeld: Ich würde das verneinen. Die Menschheit ist durch die Technologie nicht krimineller geworden. Es ist in diesem Bereich nur einfacher: Ich muss nirgends mehr hinfahren und eine Scheibe einschlagen, sondern kann mich bequem von zuhause aus einhacken und Straftaten begehen.
- Lesen Sie auch: Passwort und Update: So schützen Sie Ihre Daten im Internet
- Lesen Sie auch: Merkel: Jeder Einzelne für Sicherheit im Netz verantwortlich
- Lesen Sie auch: IT-Anwalt Jun: Wir machen es den Hackern zu einfach
Ist der Privatnutzer noch zu fahrlässig unterwegs?
Gray: Der Privatanwender kann und sollte einiges unternehmen, um sich zu schützen. Ich kenne einige aus meinem privaten Umfeld, die von sogenannten Kryptowürmern betroffen sind. Da wurden Bilder der eigenen Kinder verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigegeben. Das ist ein knallhartes Geschäftsmodell von kriminellen Banden. Privatnutzer sollten natürlich aufpassen, auf was man klickt, Backups machen, die nicht dauerhaft am PC hängen, einfache Passwörter vermeiden… Da kann man einiges machen, was das Risiko minimiert.
Thema Passwort: Was ist hier der größte Fehler?
Hoßfeld: Viele machen es den Angreifern sehr leicht, das persönliche Passwort für den E-Mail-Account oder das Facebook-Konto zu knacken, indem sie an verschiedenen Stellen dasselbe Passwort verwenden oder nicht besonders originell sind. Wenn man beispielsweise die Namen und Geburtsdaten der Kinder kennt, hat man in vielen Fällen den Schlüssel schon in der Hand.
Das sind nun wirklich keine ganz neuen Ratschläge… Warum tun wir uns so schwer damit?
Hoßfeld: Das ist wie so häufig bei Fragen der Prävention: Weil es mich zunächst nicht persönlich betrifft, wähle ich keine Aktion. Wer hat schon Lust, ständig sein Passwort zu ändern. Wer hat schon Lust, eine komplizierte Firewall einzurichten. Zunächst sind wir bequem – solange wir kein Problem haben. Und genau hier muss man ansetzen, so wie das der Safer Internet Tag versucht – die Leute sensibilisieren und klarmachen, was alles passieren kann.
Wie lassen sich gestohlene Daten eigentlich verwerten? Gibt es dafür einen Markt?
Gray: Da gibt es Marktplätze im Darknet. Sie können dort einkaufen wie bei Amazon. Das ist ein Millionengeschäft. Der Preis für die Daten ist ganz abhängig davon, was sie beinhalten. Je vollständiger ein Datensatz, umso besser. Das reicht von Sozialversicherungs- bis Kreditkartennummern, E-Mail-Adressen und Passwortkombinationen. Damit kann man sich leicht als andere Person ausgeben und zum Beispiel massiv auf deren Kosten bestellen.
Was können Sie mit Ihrer Forschung beitragen, um Sicherheitslücken zu schließen?
Hoßfeld: Wir sind ein Lehrstuhl für Kommunikationsnetze. Da schauen wir uns aktuell zum Beispiel neue Technologien an, wie man Datenverkehrsströme besser identifizieren und auch isolieren kann. Ziel wäre, einen Angriff zu blocken. Das können wir mit dem sogenannten Software-defined Networking realisieren, das Promotionsthema von Nicholas Gray.
Haben Sie schon was herausgefunden?
Gray: Ja, im Projekt "SarDiNe" haben wir einen Demonstrator gebaut, der Datenverkehrsflüsse nur dann zulässt, wenn sie aktiv angefordert wurden. Stellen Sie sich vor: Sie wollen ein Dokument drucken. Dann haben Sie auch wirklich nur in dieser Zeit eine Verbindung zu ihrem Drucker. Das minimiert die Angriffsfläche in ihrem Netz. Ist der Drucker das Einfallstor, könnte der Angreifer nur Schaden anrichten, während Sie drucken.
Arbeiten Sie hier mit IT-Unternehmen zusammen?
Hoßfeld: Es gibt dafür ein Rieseninteresse bei unterschiedlichen Firmen und wir haben entsprechende Kooperationen. Aber auch das Bundesforschungsministerium fördert Projekte.
Wie kann man denn eine Sicherheitslücke schließen?
Gray: Wenn sie entdeckt ist, muss schnellstmöglich ein Update ausgerollt werden. Dafür braucht der Softwarehersteller einen Ablaufplan. Das klingt für den Laien einfach… Aber schauen Sie, wie viele Millionen Windows-Installationen weltweit existieren. Das ist dann für Microsoft auch kein Zuckerschlecken. Denn das Risiko wächst, je länger eine Sicherheitslücke bekannt ist und noch kein Gegenmittel verfügbar ist.
Betroffen ist dann aber nicht nur der Software-Hersteller: Als Anwender zuhause sollte ich ein Sicherheitsupdate schleunigst durchführen?
Gray: Richtig. Nur denken viele noch falsch derart: Mein Rechner funktioniert ja, also brauche ich keine neue Funktionalität, kein neues Update. Dass dadurch Dinge behoben werden, an die der Nutzer gar nicht denkt – da fehlt bei vielen noch der Gedankensprung.
Die Datenskandale sorgen für Verunsicherung bei privaten Nutzern. Muss ich Angst haben, wenn ich meinen Rechner einschalte?
Hoßfeld: Das wäre die falsche Reaktion. Wir sollten die technologischen Entwicklungen positiv sehen. Ich glaube, dass ihr Nutzen deutlich die Gefahren überwiegt. Man sollte den Leute keine Angst machen, sondern sie für den richtigen Umgang mit dem Internet sensibilisieren.
Gray: Um die Grundsicherheit im Internet ist es heute deutlich besser bestellt als noch vor zehn bis 15 Jahren, weil bessere Techniken entwickelt wurden. Aber es bleibt ein Hase-Igel-Spiel zwischen Angreifern und Softwareherstellern.