IT-Security in Europa: Mit Sicherheit nicht genug
Im April 2019 ist bekannt geworden, dass der Leverkusener Pharmakonzern Bayer mit der sogenannten „Winnti“-Schadsoftware angegriffen worden ist. Möglicherweise steckt eine chinesische Hackergruppe dahinter. Die Angreifer seien hoch professionell vorgegangen, hieß es in einer Pressemitteilung. Sie hätten Systeme an der Schnittstelle vom Intranet zum Internet infiziert und von dort aus versucht, tiefer ins Unternehmen einzudringen. Informationen konnte Winnti offenbar nicht stehlen. Beruhigen sollte uns das aber nicht: Winnti ist bei mindestens drei weiteren deutschen Unternehmen aktiv gewesen. Die Bedrohungslage im Cyberraum ist seit Jahren ernst – und die europäische Politik? Setzt ihr eine kleine Agentur in Malta entgegen, die derzeit ein freiwilliges Zertifikat als großen Erfolg feiert.
Gemeint ist die European Network and Information Security Agency (ENISA), die kürzlich in Brüssel ihr 15-jähriges Jubiläum beging. Sie wurde gegründet, um die Netz- und Informationssicherheit innerhalb der Europäischen Union zu wahren. Ihr Sitz ist Malta, ihr 2019er Budget mit rund 17 Millionen Euro überschaubar. Zum Vergleich: Die Europäische Behörde für Lebensmittelsicherheit (EFSA) kann in diesem Jahr auf fast 80 Millionen Euro zurückgreifen. Die Stimmung auf der Jubiläumsfeier war dennoch optimistisch. Anfang des Jahres gelang der ENISA nach eigener Einschätzung ein großer Erfolg: Die EU-Kommission verabschiedete den von ihr vorgeschlagenen Cyber-Security-Act. Darin verpflichtet sich die EU, ein Zertifizierungsverfahren für digitale Produkte, sei es Smart Home, Industrielösungen oder kritische Infrastrukturen zu realisieren. Für Unternehmen ist es allerdings freiwillig.
Die ENISA sieht sich dabei als zentrales Kompetenzzentrum Cyber Security, das die Zertifizierung regelt und den Informationsaustausch zwischen den Mitgliedstaaten sowie die Forschung vorantreibt. Cyber-Security sei in der Politik angekommen, hieß es mehrfach in den Reden in Brüssel. Die Bedrohung sei ernst und jetzt werde sie ernst genommen.
Der Beweis dafür ist allerdings alles andere als erbracht. Mit ENISA und dem Cyber-Security-Act schlägt die EU laut Experten zwar den richtigen Weg ein, das allerdings reichlich spät. Für andere Bedrohungen fehlt die länderübergreifende Koordination in der Union auch weiterhin –, das macht es für die agilen Angreifer umso leichter.
Gütesiegel für Security?
Die Zertifizierung ist immerhin ein Anfang. „Wir wollen erreichen, dass der Endverbraucher besser einschätzen kann, ob ein Produkt sicherer ist als andere Produkte“, sagt ENISA-Direktor Udo Helmbrecht. „Das Zertifikat ist vergleichbar mit den Energielabeln bei Kühlschränken oder den Zertifikaten für Kinderautositze: Die Hersteller verpflichten sich bei Teilnahme, bestimmte Standards einzuhalten.“ Helmbrecht hofft, dass sich damit Marktvorteile für EU-Unternehmen ergeben: „Wenn Standards auf den Markt kommen, werden Firmen investieren. Der Markt honoriert Sicherheit.“
Ein sicherer Markt ist das vorrangige Ziel der ENISA, und genau da liegt gleichzeitig ein Problem. Die ENISA ist keine Behörde der Verteidigung. „Der Artikel, auf dem die Agentur begründet ist, steht in Zusammenhang mit wirtschaftlichem Wachstum in der EU, und das setzt auch einen sicheren digitalen Raum voraus“, sagt Helmbrecht. „Deshalb beschäftigen wir uns mit Risiken, die sich für Unternehmen und Konsumenten durch solche Technologien ergeben. Geheimdienst- und Militärthemen wie zum Beispiel Spionage sind nicht Teil unseres Mandats. Lediglich Industriespionage ist eine Grauzone.“ Bei Letzterem gehe es um Prävention.
Die Frage, wer für was zuständig ist, ist das große Dilemma der EU. Laut der sogenannten NIS-Direktive (Network Information Systems) von 2016 müssen die Länder Strukturen zur Cyber-Security aufbauen und an Übungen teilnehmen. Aber wie sie Ersteres machen, ist relativ frei: Griechenland hat ein Ministerium für digitale Politik, Telekommunikation und Medien. In Litauen ist Cyber-Security im Verteidigungsministerium angesiedelt. Entsprechend unterschiedlich sind die Interessenschwerpunkte der einzelnen Mitgliedstaaten, wie Helmbrecht bestätigt. Deutschland etwa ist derzeit auf kritische Infrastrukturen fixiert – ein Thema des Innenministeriums, in dessen Geschäftsbereich das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgerichtig angesiedelt ist.
Große Rechtsunsicherheit
Dieser Flickenteppich spiegelt sich auf EU-Ebene: Neben der ENISA gibt es das Computer Emergency Response Team (CERT-EU), das bei Angriffen auf die IT in EU-Einrichtungen reagiert. Das European Cybercrime Centre (EC3) bei Europol wird aktiv, wenn entsprechende Anfragen aus dem Europol-Cyber-Intelligenzteam kommen, das sich wiederum aus dem National Network of Computer Security Incident Response Teams (CSIRT) zusammensetzt – den nationalen Pendants zum CERT-EU. Die European Defence Agency (EDA) ist für die Cyber-Security im Rahmen der gemeinsamen Sicherheits- und Verteidigungspolitik der EU zuständig, hat aber ähnlich wie die ENISA keine eigenen Einsatzkräfte, sondern ist eher ein Kompetenzzentrum. Die European Agency for the operational Management of large-scale IT Systems (eu-LISA) verwaltet und schützt große Informationssysteme wie Visa (VIS) und Fingerabdrücke (EURODAC). Die European Aviation Safety Agency (EASA) beschäftigt sich mit der Cyber-Security in der Luftfahrt – ähnliche Einrichtungen gibt es für Schienen- und Schiffsverkehr. Neu hinzu gekommen ist ein Cybersecurity Industrial, Technology and Research Centre sowie ein Cybersecurity Competence Network – beide könnten Aufgaben der ENISA übernehmen, wenn die mit der Zertifizierung ausgelastet ist.
Folge der Aufteilung sei eine große Rechtsunsicherheit, sagt Ursula Pachl, stellvertretende Generaldirektorin der European Consumer Organisation, in der unter anderem die deutsche Verbraucherzentrale Mitglied ist. Ein Beispiel für diese Unsicherheit sei der jüngste Umgang mit einer Reihe von Smartwatches für Kinder, die auf den Markt kamen. Mit diesen Uhren können Eltern mit ihrem Kind kommunizieren sowie dessen Aufenthaltsort bestimmen. Vor Kurzem wurden in den Geräten eklatante Sicherheitsmängel gefunden: Es ist relativ leicht für einen Hacker, über ein Internetportal die Kontrolle über die Uhr zu übernehmen. Er könnte das Kind verfolgen und mit ihm kommunizieren, gleichzeitig könnte er den Eltern einen falschen Standort vorgaukeln. Die Daten werden zudem unverschlüsselt übertragen und gespeichert. Nutzer können sie nicht einmal löschen. Ein SOS-Button, den das Kind drücken kann, falls es in Gefahr ist, funktioniert unzuverlässig. So hätten Eltern das Gefühl, ihre Kinder mit der Uhr zu schützen, setzten sie aber einer erhöhten Gefahr aus, sagt Pachl: „Solche Geräte sollten in Europa nicht verkauft werden. Wir haben also alle möglichen Institutionen angeschrieben – Datenschutz, Verbraucherschutz, die Kommission; es ist nichts passiert.“
Vor einem Monat jedoch reagierte Island, nahm eine der Uhren, die Enox Safe-Kid-One, vom Markt und gab einen „Alert“ innerhalb des „Safety Gates“ heraus. Dabei handelt es sich um ein Schnellwarnsystem zum Informationsaustausch über potenziell verbrauchergefährdende Non-Food-Produkte, an dem neben den EU-Mitgliedsstaaten auch die Länder des Europäischen Wirtschaftsraums (EWR) teilnehmen. Auch in Island hatte es zunächst ein Zuständigkeitsproblem gegeben, da man nicht so genau wusste, ob die Einrichtung für Datenschutz, der Verbraucherschutz oder gar die Wettbewerbsbehörde zuständig sei. Aber Island hat ein System, bei dem im Zweifelsfall eine Behörde die Zuständigkeit übertragen bekommt, in diesem Fall die für Verbraucherschutz. In keinem anderen Land gibt es eine derartige Regelung. Nicht-EU-Mitglied Island macht es also vor: Die digitale Wirtschaft der Union bräuchte einen vergleichbaren Ansatz, um bei der Vielzahl an Institutionen für klare Zuständigkeiten zu sorgen.
Denn Cyber-Security ist inzwischen bei fast allen Produkten ein Thema. Es geht längst nicht mehr um die klassischen kritischen Infrastrukturen – auch Alltagsprodukte sind heute Angriffsflächen für Hacker. Hersteller von Spielwaren beispielsweise kostet es nur wenige Cents, ihre Produkte mit einem Chip zu versehen. Der liefert ihnen dann Daten, sei es darüber, ob das Produkt defekt ist oder wo und wie es zum Einsatz kommt. Für den Hersteller sind solche Informationen kostbar. Das führt dazu, dass immer mehr Branchen digitale Produkte entwickeln, obwohl sie keine Erfahrung mit Cyber-Security haben und sie mitunter nicht ernst nehmen. Auch Helmbrecht sagt, dass das Thema bei vielen Firmen offensichtlich noch nicht angekommen sei.
„Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA deutlich besser.“
Auf der anderen Seite sind die Zulassungsverfahren veraltet – bei Spielzeug geht es zum Beispiel ausschließlich um die Frage, ob eine Verletzungsgefahr oder eine Gefahr durch Schadstoffe besteht. Der Chip wäre also ein Problem, wenn Kinder ihn verschlucken könnten. Das von der ENISA eingeführte Zertifikat würde dies zwar ändern, aber es ist freiwillig. „Eine solche Selbstregulierung ist unzureichend“, sagt Pachl. „Wir fürchten, dass das Zertifikat für Unternehmen nicht attraktiv genug ist, da Verbraucher bei Cyber-Security nicht sensibilisiert genug sind, um sie einzufordern.“
Experten für Internetsicherheit sind ebenfalls skeptisch. Sergej Epp, Chief Security Officer für Zentraleuropa beim amerikanischen Unternehmen Palo Alto Networks, warnt vor der Zunahme an Angriffsflächen dank ständig neuer Geräte, die wir nicht einmal mehr als digital wahrnehmen, sowie der gleichzeitigen Zunahme an Angriffsversuchen. „Jeder kann theoretisch einen Angriff durchführen“, sagt er. „Es reicht, mit dem Internet verbunden zu sein. Sie können aus jeder Ecke der Welt die größten Unternehmen lahmlegen. Dafür brauchen Sie weder Geld noch ausgefeilte Geräte. Sie müssen nur wissen, wie es geht.“ Heutzutage könne man sich über das Internet einen entsprechenden Bildungsstand aneignen.
Bis ein Angriff entdeckt wird, vergehen meist Monate, manchmal Jahre. Auch Bayer gab bekannt, es lasse sich nicht rekonstruieren, wie lange die Hacker im Netz des Unternehmens waren. „Das liegt oft daran, dass die Experten in Firmen nicht die Möglichkeit haben, genug Transparenz zu schaffen“, sagt Epp. Regelungen wie das Bundesdatenschutzgesetz (BDSG) würden die Risiken, denen Unternehmen ausgesetzt sind, zu wenig berücksichtigen. Es müsse Ausnahmefälle bei einem Angriffsverdacht geben. Um Angriffsstrategien wirklich zu verstehen, müssten Securityexperten alle Daten analysieren, die auf den Unternehmensservern liegen – auch solche, die sonst zurecht geschützt sind.
EU-Wirtschaft investiert zu wenig
Epp sieht die EU nicht gut aufgestellt. Das hat zum Teil geopolitische Ursachen. Die Länder waren lange Zeit weniger stark unter Beschuss als etwa die Vereinigten Staaten. Diese hätten schon vor Jahren Milliarden in Cyber-Security investiert, sowohl in der Wirtschaft als auch beim Militär. In der EU investierten Politik und Unternehmen zu wenig. Letztere würden noch immer eher reagieren, statt auf präventive Maßnahmen zu setzen. Ein Zertifikat wäre ein Schritt nach vorne. „Die Regulatoren dürfen aber das Thema Cyber-Security nicht wie eine Compliance-Blackbox behandeln und mit einer Checkliste prüfen, welche Features ein Produkt hat und welche nicht“, sagt Epp. „Ähnlich wie bei einem Autocrashtest müssten die Hersteller nachweisen, dass ihr Produkt im Einsatz innerhalb des Gesamtsystems sicher ist – in einer Simulation, in der es realen Angriffen ausgesetzt ist.“ Vorbildlich sei etwa das Framework for Threat intelligence-based Ethical Red Teaming, kurz TIBER-EU, das die Europäische Zentralbank im vergangenen Jahr verabschiedet hat: ein gemeinsamer Rahmen für die Finanzindustrie, um zum Beispiel in sogenannten Cyber Ranges Systeme zu testen und Resilienz aufzubauen.
In Finnland hat die JAMK University of Applied Sciences ein derartiges Trainingszentrum, JYVSECTEC, aufgebaut. In deren Cyber-Range, einer Art Trainingsplattform, können sich Banken, Regierungsorganisationen und Unternehmen unter realen Bedingungen mit Attacken auseinandersetzen. Es wird zum Beispiel User-Traffic simuliert. Die finnischen Entwickler stellen ein „Red Team“ zusammen – Security Experten, die in die Rolle von Hackern schlüpfen, also Kriminelle, Hacktivisten oder Hacker von Regierungen.
Das Angriffsteam arbeitet mit Tools und Methoden, die im Umlauf sind: DDOS-Angriffe, Botnets, Ransomware, Phishing, Malware, Trojanische Pferde oder „Watering Holes“. Bei dieser Methode beobachten Hacker, welche unsicheren Websites Mitarbeiter eines Unternehmens häufig besuchen, dann infiltrieren sie die Seite und warten auf einen unvorsichtigen Mitarbeiter. Er ist dann die Eintrittskarte zum eigentlichen Ziel. „Es ist wichtig, nicht nur auf technologischer Seite vorbereitet zu sein“, sagt Jani Päijänen, Projektleiter von JYVSECTEC. „Das Management sollte beim Training ebenso involviert sein wie Produktion, Vertrieb, PR- oder Personalabteilung – je nach Unternehmen.“
Was typische Schwachstellen sind, möchte Päijänen nicht sagen. Aber allgemein sei die Kommunikation ein Problem – so müssten die Mitarbeiter im Bereich Technik, Management und PR besser zusammenarbeiten – etwa mittels Tools für eine Echtzeitberichterstattung – sodass bei einem Angriff alle jederzeit auf dem gleichen Stand sind und gemeinsame Strategien entwickeln können, wie sie die Situation in der Öffentlichkeit oder mit den Geschäftspartnern kommunizieren. Die Kommunikation während eines Angriffs ist ein komplexer Prozess.
Die Forscher kooperieren mit F-Secure, einem finnischen Securityunternehmen, um möglichst alle aktuellen Bedrohungen im Blick zu haben. Päijänen sagt: „Es ist sehr aufwendig, die Cyber-Range aktuell zu halten, da immer wieder neue Malware und neue Strategien auftauchen.“ Aber nur so seien die Teilnehmer vorbereitet.
Vor allem auch kleinere Unternehmen profitieren von solchen Übungen, auch sie müssen die Angriffssystematik und die Folgen verstehen. Dabei sind sie bei der Security meist auf externe Firmen angewiesen. Allerdings sind die ökonomischen Rahmenbedingungen für Securityunternehmen in der EU nicht besonders gut. „Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA deutlich besser“, sagt Wirtschaftsinformatiker Kai Rannenberg von der Goethe-Universität. Er koordiniert das EU-Forschungsprojekt Cybersec4europe. Das Ziel: eine Securityindustrie in Europa etablieren. Die Forscher möchten bei verschiedene Fallbeispielen wie im Banken- und Gesundheitswesen, Identitätsmanagement oder Smart Cities, Unternehmen mit Securitypartnern verbinden: „Wir können keine Startups fördern, aber die Bedürfnisse der Branchen ermitteln und diese mit Securityexperten zusammenbringen. So können sich Partnerschaften etablieren.“ Die Unternehmen sehen dann vielleicht, dass sie mehr investieren müssen. Immerhin kostet ein gelungener Angriff im Schnitt deutlich mehr als jeglicher Schutz davor – im Schnitt mehr als eine Million Euro.
Dabei ist die Expertise in Europa ja durchaus vorhanden. Auch der Weg, den die ENISA vorgibt, ist grundsätzlich richtig, aber er ist nicht konsequent genug. Europa braucht nicht nur ein gutes Umfeld für die Forschung, sondern auch IT-Securityfirmen und die entsprechenden Investitionen – ebenso wie bindende Sicherheitsstandards, klare Zuständigkeiten in den Ländern sowie ein EU-weites Kompetenzzentrum mit ausreichendem Budget. Und all das am besten, bevor es zum ersten richtigen Ernstfall kommt.