Prof. Dr. Eric Bodden zum Thema IT-Sicherheit
Immer wieder werden Bürger und große Einrichtungen zum Ziel von Cyber-Kriminellen – so etwa Ende 2019 medienwirksam die Universität Gießen. Welche Schwachstellen werden hier genutzt und wie arbeitet Schadsoftware? Wodurch lassen sich die eigenen Systeme schützen? IT-Sicherheitsexperte Prof. Dr. Eric Bodden gibt Einblicke und Tipps, sagt, welche Maßnahmen er von der Politik erwartet, und erklärt, welchen Beitrag seine Forschung und der Paderborner „Tag der IT-Sicherheit“ leisten wollen.
Herr Bodden, Ende letzten Jahres wurde die Justus-Liebig-Universität Gießen Ziel eines Angriffs von Cyber-Kriminellen. Um Schlimmeres zu verhindern, wurden alle Uni-Server herunterfahren und die Hochschule war zeitweise komplett offline. So ließ sich vermeiden, dass die eingesetzten Schadprogramme „Emotet“ und „Ryuk“ ihre Wirkung entfalten und massenhaft Daten verschlüsseln konnten. In anderen Fällen waren Cyber-Angriffe bereits erfolgreich. Welche IT-Schwachstellen nutzen Kriminelle bei großen Einrichtungen derzeit?
Eric Bodden: Moderne Malware wird oft arbeitsteilig entwickelt und kommt als Baukasten daher. Es gibt dann viele Varianten, die verschiedenste Schwachstellen in unterschiedlichen Softwaresystemen ausnutzen. Die wohl bekannteste Schwachstelle, die Emotet ausnutzte, lag in Microsofts Implementierung des SMB-Protokolls. Der Server Message Block ist ein Netzprotokoll für beispielsweise Dateidienste in Rechnernetzen und erlaubt den Zugriff auf Dateien und Verzeichnisse, die sich auf einem anderen Computer befinden. Durch das SMB-Protokoll ließen sich viele Windows-Systeme ausnutzen. Die Schwachstelle wurde durch den vom US-Auslandsgemeindienst NSA entwickelten Exploit „EternalBlue“ bekannt. Der Exploit wurde der NSA gestohlen und 2017 publik gemacht. Zu diesem Zeitpunkt stand von Microsoft bereits ein Patch bereit, wurde aber offenbar auf einer großen Anzahl von Systemen nicht zeitnah eingespielt. So hatte Emotet dann leichtes Spiel.
Architektur einer Cyber-Attacke: Wie arbeitet Schadsoftware wie „Emotet“ und „Ryuk“?
Bodden: Aktuelle Schadsoftware ist relativ perfide. So liest Emotet beispielsweise auf infizierten Rechnern E-Mail-Postfächer aus, um dann den darin enthaltenen Kontakten zielgerichtete Mails zu schicken, die aussehen als kämen sie direkt von der Person, der der infizierte Account gehört. Diese Phishing-Mails enthalten dann z. B. Auszüge aus real versandten E-Mails. Das Ziel dieser Mails ist immer, die Empfänger dazu zu verleiten, auf bestimmte Anhänge oder Links zu klicken. Hierdurch wird die Schadsoftware dann auch beim Empfänger aktiv. Neuere Versionen von Schadsoftware nutzen gleich eine ganze Reihe von Verbreitungsvektoren und versuchen beispielsweise, Schwachstellen direkt über eine WLAN-Verbindung auszunutzen. Da genügt es dann schon, mit einem ungepatchten Rechner im falschen Netzwerk zu sein, um infiziert zu werden.
Ob Universität, Industrieanlage oder Verkehrsleitsystem: Durch welche technischen und organisatorischen Maßnahmen lassen sich softwaregesteuerte und vernetzte Systeme derzeit am effektivsten vor Cyber-Angriffen schützen?
Bodden: Wie oben beschrieben ist eine wichtige Schwachstelle leider der Faktor Mensch. Eine erste wichtige Maßnahme ist daher aktuell, die Beschäftigten so zu sensibilisieren, dass sie Phishing-Mails besser erkennen. Mit aktueller Schadsoftware gerät man hierbei jedoch an seine Grenzen, da man die E-Mails eben nicht mehr sofort als Fälschungen erkennt. Ein weiterer wichtiger Punkt ist daher das schnelle und möglichst automatisierte Einspielen von Sicherheitsupdates. Hierzu gibt es mittlerweile ausgefeilte Systeme, mit denen auch tausende Rechner gleichzeitig administriert werden können. Oftmals besteht aber das Problem, dass bestimmte Sicherheitsupdates nur mit sogenannten Feature-Updates zu haben sind – und diese sind unter Umständen ungewollt, da sie eine Umstellung der gewohnten Arbeitsabfolgen nach sich ziehen. Hier sind daher auch die Softwarehersteller gefragt, solche Updates besser voneinander zu entkoppeln.
Aktuelle Ransomware verschlüsselt regelmäßig die Daten auf den infizierten Systemen und verlangt dann Lösegeld – üblicherweise in Form von Bitcoins. Man kann solche Systeme eigentlich kostenlos wiederherstellen, wenn aktuelle Backups existieren. Eine systematische Backuplösung gehört nicht nur aus diesem Grund heute in jede Unternehmens-IT. Um das Geschäftsmodell der Ransomware-Entwickler zu unterbinden, ist aber auch die Politik gefragt: Es ist heutzutage offensichtlich, dass Kryptowährungen wie Bitcoin in erster Linie der organisierten Kriminalität dienen. Der Nutzen für Privatleute und Unternehmen ist hingegen verschwindend gering. Daher sollte der Gesetzgeber meiner Meinung nach ein flächendeckendes Verbot für solche Technologien aussprechen.
Was ist zu tun, wenn es dennoch zum Cyber-Angriff kommt?
Bodden: In Fällen wie dem an der Universität Gießen zeigte sich, dass noch Schlimmeres verhindert werden konnte, indem viele Rechner relativ frühzeitig nach den ersten erkannten Angriffen heruntergefahren wurden. Damit wird die Infektion zumindest eingedämmt. Die potenziell infizierten Festplatten der Systeme können dann „offline“ bereinigt werden, also ohne sie aktivieren zu müssen. Hierzu sollten unbedingt Expertenteams hinzugezogen werden. Glücklicherweise gibt es mittlerweile auch in Deutschland einige Unternehmen, die auf diese sogenannte Forensik spezialisiert sind.
In der von Ihnen geleiteten Fachgruppe „Softwaretechnik“ am Heinz Nixdorf Institut der Uni Paderborn und im Kompetenzbereich „Digital Security“ des SICP - Software Innovation Campus Paderborn setzen Sie und Ihre Kollegen bereits am Anfang an: bei der Entwicklung von Softwaresystemen. Welche Ziele verfolgen Sie mit Ihrer Forschung?
Bodden: Schafsoftware hat heute vor allem deswegen so leichtes Spiel, weil in aktuellen Systemen unzählige Schwachstellen vorhanden sind. Sie entstehen beispielsweise durch falsche Annahmen bezüglich kryptografischer Protokolle oder der Sicherheitsarchitektur, vor allem aber durch Programmierfehler. Um diese Fehler systematisch zu vermeiden, benötigt man einen durchgeplanten Ansatz zum sogenannten Secure Software Engineering. Hierbei wird der sonst übliche Softwareentwicklungsprozess um eine Reihe von Security Touch-Points erweitert, an denen mittels systematischer Prozesse oder effektiver Werkzeuge die IT-Sicherheit entsprechend beachtet und erhöht wird.
Seit Ende 2019 fördert die EU Ihr Forschungsprojekt „CodeShield“. Was untersuchen Sie hier?
Bodden: Das Ziel des Projekts ist die Gründung der CodeShield GmbH, einer Ausgründung der Universität Paderborn und des Fraunhofer-Instituts für Entwurfstechnik Mechatronik (IEM), der initial neben mir selbst drei ehemalige wissenschaftliche Mitarbeiter angehören werden. Die Einrichtung wird ein Softwarewerkzeug entwickeln und vertreiben, mit dem Unternehmen ihre Software-Lieferkette absichern können. Das ist auch zwingend notwendig, denn: Heutige Softwaresysteme bestehen nur zu circa 10 Prozent aus selbstgeschriebenem Programmcode. Rund 90 Prozent werden beispielsweise über das Einbinden von Open-Source-Bibliotheken realisiert. Aber diese Bibliotheken haben oft Schwachstellen – und die werden regelmäßig prominent bekannt und daher schnell ausgenutzt. Setzt mein System eine anfällige Bibliothek ein, kann diese das System direkt angreifbar machen – teilweise genügt es dafür schon, dass die Bibliothek einfach nur eingebunden wurde.
Die Lösung von CodeShield erlaubt es Unternehmen, nicht nur zu erkennen, ob sie verletzliche Komponenten einsetzen, sondern auch, ob diese so eingesetzt werden, dass die jeweilige Schwachstelle für das System relevant ist und daher ein Update eingespielt werden muss. Dies hilft Unternehmen, ihre Systeme besser zu sichern und signifikant Kosten zu sparen. Als erste Lösung am Markt wird Codeshield hierbei auch Schwachstellen in einem Library-Code erkennen, der neu kompiliert oder zusammengestellt wurde.
Quantencomputer und Co.: Welche neuen IT-Techniken sind derzeit für Sicherheitslösungen besonders Erfolg versprechend?
Bodden: Die praktische Anwendung von Quantencomputern scheint immer noch Jahrzehnte entfernt, wenn sie denn überhaupt einmal kosteneffektiv möglich werden sollte. Und selbst wenn es sie gäbe, würden diese Computer in Sachen IT-Sicherheit eventuell mehr Probleme verursachen als Lösungen aufzeigen, denn dann würden z. B. Verschlüsselungsalgorithmen wie RSA unbrauchbar, da Quantencomputer sie leicht brechen könnten.
Es gibt aber signifikante Fortschritte auf vielen Feldern der IT-Sicherheit. Im meinem eigenen Gebiet, der Softwaretechnik, wurden in den letzten Jahren großartige Fortschritte in Sachen Build- und Testautomatisierung erzielt. So befähigen wir heute schon Unternehmen, weitaus schneller wesentlich größere Softwaresysteme zu bauen – und zwar kontrolliert und unter Einhaltung von Best Practices in Bezug auf die IT-Sicherheit.
Fortschritte in der angewandten Kryptografie wiederum erlauben beispielweise spannende neue Wege zu mehr Datensparsamkeit. Ein praktisches Beispiel ist etwa der elektronische Personalausweis: Mit diesem können Bürger einen Altersnachweis führen ohne ihre Identität preisgeben zu müssen. Daten, die so eingespart werden, können auch nicht gestohlen werden – ein wichtiger Schritt zu mehr Security by Design.
Am 18. und 19. März richtet der SICP bereits zum 15. Mal den „Tag der IT-Sicherheit“ aus. Was erwartet Interessierte hier und was wollen Sie mit dem Veranstaltungsformat erreichen?
Bodden: Die Veranstaltung richtet sich primär an Security-Verantwortliche und Interessierte aus Unternehmen und Verbänden. Wir bieten auch dieses Jahr wieder einen spannenden Mix aus Vorträgen aus der angewandten Forschung und der Praxis – mit einem breiten Spektrum von technischen bis hin zu juristischen Themen. In Workshops werden einzelne Themen dann interaktiv weiter vertieft. Wir freuen uns auf Ihre Teilnahme!
Interessierte können sich noch bis zum 11. März für den „Tag der IT-Sicherheit“ anmelden: bit.ly/TdITS20.