Das Cispa – Helmholtz-Zentrum für Informationssicherheit erforscht die Sicherheit in der digitalen Welt in all ihren Facetten. Prof. Dr. Christian Rossow gibt einen Einblick darüber, was Teilnehmer des Studienganges „Cybersicherheit" erwartet.
Ganze 300 Millionen Passwörter gehackt, 24.000 neue schädliche Apps täglich, im Gesundheitssektor eine Vervierfachung von durch Ransomware (Schadsoftware) verursachten Angriffe. Die Statistiken der Onlineplattform https://www.prnewswire.com sprechen eine eindeutige Sprache: Alleine sechs Billionen Dollar Kosten verursachte Cyberkriminalität im Jahr 2021. Dabei benutzen Hacker zu 90 Prozent Verschlüsselungsmethoden, um an Geld zu kommen. 86 Prozent aller kriminellen Unternehmungen sind monetär motiviert. Die Prognosen stehen auch im Zeichen der Pandemie auf besorgniserregend: Cyberattacken haben im vergangenen Jahr deutlich zugenommen. Durch Corona und die Umstellung auf Homeoffice und Homeschooling sind laut BKA neue Angriffsfelder dazugekommen, und die Aufklärungsquote ist im Vergleich zur analogen Welt erschreckend niedrig.
Um dem nicht mehr neuen Phänomenen von Onlinekriminalität und Angriffen mittels Schadsoftware entgegenzutreten, beschäftigen sich zunehmend Experten mit dem Thema Datensicherheit. Auch am Saarbrücker Cispa – Helmholtz-Zentrum für Informationssicherheit untersuchen hochtalentierte Studierende und junge Forschende die Bereiche Cybersicherheit, Datenschutz und Künstliche Intelligenz. Seit 2014 kann man einen Bachelor-Studiengang „Cybersicherheit" an der Universität des Saarlandes belegen, seit Oktober 2018 einen Masterstudiengang, in dessen Rahmen Studierende ein Unternehmen gründen. Und seit 2021 gibt es zudem einen weiteren, wissenschaftlich orientierten M.Sc. Cybersicherheit.
Herr Rossow, wie weit oder eng gefasst ist der Begriff Cyberkriminalität zu verstehen?
Der Begriff Cyberkriminalität umfasst die kriminelle Ausbeutung von Vorfällen im Bereich der digitalen Welt. Das reicht von einer durch Malware verursachten Sperrung eines Systems zum Zweck einer Erpressung bis hin zu einem schwer zu fassenden Cyberwar, wo ein Unternehmen eines Staates einen anderen Staat angreift. Ziel des Angriffs ist meistens Informationsgewinnung. Das geht weit über Kleinkriminalität hinaus. Das Spannende daran ist, dass die grundlegende Technik dahinter die Gleiche ist: Ich nutze Schwachstellen innerhalb eines Systems aus oder ich nutze unvorsichtiges Nutzer-Verhalten aus, wie das Runterladen von Schadsoftware durch das Anklicken eines Links. Diese Mechanismen zu verstehen, ist Teil des Studiums: Wie funktionieren die Angriffe? Dabei handelt es sich nicht um ein rein defensives Studium. Um gute Verteidigung zu entwickeln bedarf es immer ein Verständnis davon, wie sich Angreifer verhalten. Natürlich geht es in dem Zusammenhang auch um die rechtlichen Implikationen.
Im Vergleich zur analogen Welt: Ist Cyberkriminalität durch einen Vorsprung an Wissen gegenüber den Kriminellen vorbeugbarer?
Es ist vorbeugbar, aber ob es mehr effektive Maßnahmen gibt als in der analogen Welt sei mal dahingestellt, denn auch da können wir Vorkehrungen treffen, die es dem Verbrecher erschweren, sein Ziel zu erreichen: Man kann Alarmsysteme in sein Haus bauen, spezielle Schließvorrichtungen anbringen, den Geldbeutel an der Brust tragen, und so weiter. Das Gleiche gibt es auch in der digitalen Welt. Wir alle wissen, wir brauchen einen Virenschutz auf dem Rechner. für Unternehmen gibt es weitere Systeme, die ich vorschalten kann, um schädliche E-Mail-Anhänge gar nicht erst durchzuleiten. Wir befinden uns momentan in einer Art Katz-und-Maus-Spiel, nennen das „Arms Race", also einen Rüstungswettkampf. Die spielentscheidende Frage lautet: Wer ist weiter mit seinen Maßnahmen, Angreifer oder Verteidiger? Das Cispa möchte dieses Spiel beenden! Wir möchten Garantien geben, dass man nicht mehr angegriffen werden kann. Und selbst dann, wenn man angegriffen wird, soll der potenzielle Schaden überschaubar bleiben.
Welche klassischen Berufsfelder gibt es für einen Masterabsolventen im Bereich Cybersicherheit?
Einmal gibt es den Cyberforensiker, eine Person, die im Nachgang eines Verbrechens die Lage analysiert und aufklärt. Dies ist ein sehr spezieller Job, auf den sich Firmen in Deutschland spezialisiert haben. Solches Personal hat man nicht im eigenen Unternehmen sitzen. Wen sich der Mittelstand und große Unternehmen sowieso leistet, sind sogenannte Security Professionals, um die digitale Infrastruktur permanent überprüfen zu lassen. Da Firmen sich ständig entwickeln, werden sich auch deren digitale Bedürfnisse und Strategien über die Zeit ändern. Das heißt, jedes Mal wenn ein neuer Standort aufmacht, vernetzt wird, oder man neue Software implementiert, braucht es einen Security Professional um diese Prozesse zu überwachen. Des Weiteren können Berufseinsteiger Penetrationstestings machen, das sind Präventionsmaßnahmen im Sinne einer Simulation. Das heißt, man stellt jemanden ein, der im Auftrag eines Unternehmens ebendieses angreift und versucht, diverse Dinge zu knacken, Menschen zu kompromittieren, Software einzuspielen. Man dokumentiert die Schwachstellen und arbeitet an deren Verbesserung. Software-Entwicklung ist ein weiteres Betätigungsfeld. Es gibt nicht nur die großen, sondern gerade im Automobil-Sektor viele kleinere Software-Buden, die speziell im Bereich autonomer Systeme Software entwickeln und noch vieles mehr.
Das User-Verhalten von Social Media-, Amazon-, beziehungsweise Google-Kunden steht im krassen Gegensatz zu dem, was man unter Datenschutz versteht. Kann man etwas gegen die sogenannten Datenkraken tun?
Unternehmen wie Facebook, Whatsapp oder Google versuchen durch Microtargeting Profile von uns zu erschaffen, um uns noch gezielter mit Werbung zu bespielen. Das ist zunächst mal nichts Schlechtes. Aber in den Maßstäben in denen das gerade passiert, ist das Profiling geradezu pervers. Dass auf der anderen Seite des Kanals in ganz anderen Größenordnungen gedacht wird, kann man an dem Datenaustausch zwischen Staat und Privatwirtschaft festmachen. Was Edward Snowden aufgedeckt hat, ist wohl die unschöne Spitze des Eisbergs. Diese meist amerikanischen Unternehmen stehen unter ganz anderen Einflüssen als deutsche. Sie werden dazu angehalten, mit Geheimdiensten zu kooperieren. Dem eigentlichen Zweck, nämlich dem von besserer Werbung, kann man immer noch zum Sieg verhelfen, zum Beispiel indem man Profile verwässert. Das ist ein eigenes Forschungsfeld! Sie wollen immer noch Daten miteinander korrelieren, um ein Profil zu bekommen, aber keines, das Kunden zum Nachteil gereichen kann, wo Personen komplett durchleuchtet werden. Wie würden solche Vergröberungen aussehen? Sie wären demnach nicht genau 184 Zentimeter groß, sondern nur 180 Zentimeter. Sie heißen nicht mehr Jörg, sondern Peter. Man weiß aber: Sie sind groß und männlich. Damit wäre es den Werbetreibenden immer noch möglich, Anzeigen zielgerichtet zu platzieren, und zwar ohne dass Sie personenbezogene, individuelle Nachteile hätten.
Viren oder Schadsoftware wie Wanna Cry sind zu einer zweifelhaften Berühmtheit gekommen. Wie kann es sein, dass solche Cryptowürmer über Jahre eine erfolgreiche Bekämpfung unmöglich machen?
Ich ziehe an dieser Stelle eine Parallele zu dem Coronavirus und dessen Mutationen. Erst hatten wir die Alpha-Variante, dagegen wurde im Schnellverfahren ein Impfstoff entwickelt. Es sucht sich seinen Weg durch eine Mutation, das heißt die Delta-Variante, nun Omikron. Der Impfstoff wirkt nun nicht mehr vollständig gegen Infektionen dieser neuen Variante. Das heißt, genau wie in der analogen Welt haben Sie Viren, die nach und nach selbstständig mutieren. Ein Virus beinhaltet nicht nur die dem Antivirusprogramm bekannte Syntax, sondern liest darüber hinaus Teile des anzugreifenden Systems und fängt an, diese zu schreiben. Das macht Ransomware. Das Aussehen und die Natur des Virus ändert sich demnach täglich. Wenn man nochmals den Vergleich zu Corona zieht, kann man fast froh sein, nur drei Varianten davon zu haben. Im digitalen Bereich gibt es täglich 500.000 neue Fälle von Schadsoftware, mindestens! Darüber können sie ohne Automatisierung von Softwareerkennung nicht mehr Herr werden.
Ein Unternehmen hat darüber hinaus durch seine Anzahl an Mitarbeitenden ein neues Einfallstor pro Posten. Dazu kommt, dass ein Unternehmen aus mehreren Rechnern besteht. Wenn ich es also nicht schaffe, den Virus auf dem gesamten Netzwerk auszumachen, dann kann es sein, dass er auf irgendeinem versteckten Laufwerk schlummert und eines Tages durch einen bestimmten Befehl ausgelöst wird.
Stichwort Industrie 4.0. Ist die Digitalisierung unserer Verhältnisse nicht ein Hin zu mehr Unsicherheit?
Es gibt ja auch ohne Digitalisierung eine gewisse Abhängigkeit. Im Fall der Pandemie wäre ohne Digitalisierung nicht viel gegangen. Man muss einfach schauen, wie groß die Gefahr wirklich ist. Der vielzitierte Stromausfall durch angegriffene Systeme geistert rum als Szenario, und dieser kann durchaus vorkommen, keine Frage. Aber das liefert keinen Grund, digitale Rückschritte zu machen, denn man konnte schon vorher Stromnetze lahmlegen. Es bleibt auf jeden Fall eine spannende Aufgabe, Systeme so sicher zu machen, dass wir unsere Mission, die Beendigung des digitalen Wettrüstens, am Ende erfüllen können.