Cyber Resilience
Hackern immer einen Schritt voraus
ITK-Systeme sind attraktive Ziele für Hacker. Denn dort lassen sich Informationen abgreifen oder ganze Netzwerke lahmlegen. Klassische reaktive IT-Sicherheitsmaßnahmen sind technisch jedoch überholt. An ihre Stelle müssen präventive Konzepte treten, die Angreifern immer einen Schritt voraus sind.
Die Digitalisierung hat den ITK-Markt stark verändert. Immer mehr Dienste verlagern sich heute auf IP-Netze. So hat die klassische Festnetz-Telefonie ausgedient und wird zunehmend durch die Internettelefonie (VoIP) ersetzt. Die Deutsche Telekom hatte bereits 2016 angekündigt, all ihre Festnetzanschlüsse bis Ende 2018 auf IP umzustellen. Bei 90 Prozent ihrer Kunden ist dies bereits geschehen. Auch das Fernsehen und Videostreaming wird bereits in vielen Haushalten über das IP-Netz übertragen. Es kommt also zu einer zunehmenden Vereinheitlichung von Kommunikationsnetzen und Serversystemen. Die Kehrseite: Hacker können mit einer Attacke auf das IP-Netz viele Dienste auf einen Schlag kompromittieren und massiven Schaden anrichten – wie zahlreiche Beispiele aus den
vergangenen Jahren zeigen.
Vereinheitlichte Kommunikationsnetze sind angreifbar
Im Oktober 2016 sorgte etwa ein Cyber-Angriff auf den US-Netzwerkdienstleister Dyn für Aufsehen. Er bietet den Service DynDNS, eine grundlegende Funktion für das Internet. DynDNS verknüpft Domain-Namen mit Netzwerkadressen und sorgt so dafür, dass die richtige Webseite angezeigt wird, wenn ein Anwender eine www-Adresse in den Browser eingibt. Mit einer Denial of Service-Attacke überlasteten Hacker den Dienst und legten ihn lahm. Dadurch waren große Internetdienste-Anbieter wie Twitter, Paypal, Netflix und Amazon zeitweilig in Teilen der USA und Europas nicht erreichbar. Für ihre Attacke nutzten die Cyber-Kriminellen ein IoT-Botnetz, das sie mit der Schadsoftware Mirai aufgebaut hatten.
Ein Mirai-ähnliches Botnetz kam auch beim Angriff auf Router der Deutschen Telekom zum Einsatz, der im November 2016 bei mehr als 900.000 Kunden das Internet und die Internettelefonie lahmlegte. Ein Hacker hatte eine Sicherheitslücke in Routern des Herstellers Zyxel ausgenutzt, sie mit der Malware infiziert und in ein Botnetz eingebunden. Zwar handelte es sich bei den Telekom-Routern um Geräte eines anderen Herstellers, sodass die Versuche, sie zu infizieren, fehlschlugen. Die andauernden Attacken brachten die Router jedoch zum Absturz. Im Februar 2017 wurde der Hacker, der sich selbst „Spiderman“ nannte, gefasst. Nach eigenen Angaben hatte er den Angriff nicht speziell auf die Telekom abgezielt, sondern wollte Router weltweit infizieren. Den Auftrag dafür habe er von einem Telekommunikations-unternehmen aus Liberia bekommen, das mit dem Botnetz die Konkurrenz im eigenen Land aushebeln wollte.
Fatale Folgen
Die beiden genannten Beispiele machen eines deutlich: Angriffe auf Unternehmen in der Informationstechnik und Telekommunikation können weitreichende Auswirkungen auf das staatliche Gemeinwesen haben. So ließen sich bei einem Ausfall der Kommunikationsnetze keine Notrufe mehr absetzen und die Regierung könnte Bürger nicht mehr zeitnah über Radio, Fernsehen oder Internet über akute Gefahrensituationen informieren. Darüber hinaus sind Cyber-Angriffe auf die Kommunikationsinfrastruktur auch attraktiv für Terroristen und Geheimdienste, um sensible Daten mitzulesen und auszuspionieren.
Um eben solchen Extremfällen vorzubeugen, gelten für den Bereich ITK, der zu den kritischen Infrastrukturen (KRITIS) zählt, in der EU besondere Vorschriften zum Schutz vor Cyber-Kriminalität. KRITIS-Unternehmen sind laut dem IT-Sicherheitsgesetz (IT-SIG) dazu verpflichtet, ihre IT-Systeme nach dem „aktuellen Stand der Technik“ abzusichern. Seit 25. Juli 2015 in Kraft, ist das IT-SIG das deutsche Umsetzungsgesetz zur NIS-Richtlinie der EU – der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union.
- Hackern immer einen Schritt voraus
- Trotz Cyber-Angriffen handlungsfähig bleiben
Lesen Sie mehr zum Thema
