In unserer vernetzten Welt werden digitale Infrastrukturen zur Grundvoraussetzung des täglichen Lebens. Dabei sind Internet und Telekommunikation als Lebensnerven unserer Gesellschaft besonders verwundbar. Forscherinnen und Forscher der Helmholtz-Gemeinschaft suchen nach Möglichkeiten, die Schwachstellen zu schließen.

"Die Sicherheitsrisiken für IT-Systeme sind vielfältig", sagt Jörn Müller-Quade. Der Professor für IT-Sicherheit leitet die Forschungsgruppe "Kryptographie und Sicherheit" am Institut für Informationssicherheit und Verlässlichkeit (KASTEL) des Karlsruher Instituts für Technologie (KIT) und ist Direktor am Forschungszentrum Informatik (FZI). "Am bekanntesten sind sicher Malware und klassische Hackerangriffe. Viele Angriffe bemerkt man aber nicht, wenn etwa Systeme ausspioniert und Informationen über deren Verwundbarkeit gesammelt werden."

Technik 13.06.22

Laut Warentest zu neugierig DB Navigator hat ein Datenschutzproblem

Diese kommen heute längst nicht mehr nur von Computerfreaks, die ihre Fähigkeiten ausprobieren wollen. Auch andere Gruppen nutzen sie für verschiedene Zwecke: Beispielsweise verschlüsseln Kriminelle mit Ransom Ware die Computer, um diese erst gegen Lösegeld wieder freizugeben. Die Militärapparate von Staaten versuchen, über digitale Wege die Infrastruktur ihrer Gegner zu schwächen. Und auch die Geheimdienste nutzen spezielle Programme, etwa um mehr über die Wirtschaft von Freund und Feind zu erfahren.

Dabei scheinen die Angreifer grundsätzlich im Vorteil zu sein. "Bei der IT-Sicherheit gibt es tatsächlich eine Asymmetrie", erklärt Jörn Müller-Quade. "Die Verteidiger müssen alle Sicherheitslücken schließen, die Angreifer hingegen nur eine offene finden." Die einzige Ausnahme von dieser Regel, fügt der Experte für Verschlüsselungen hinzu, würde für die Kryptografie gelten. "Hier wissen wir seit den Enthüllungen von Edward Snowden, dass sich selbst die NSA an modernen Verschlüsselungsverfahren die Zähne ausgebissen hat." Allerdings, und auch das zeigen die Enthüllungen, kam der Geheimdienst auf anderem Wege an die gewünschten Daten heran. Für Jörn Müller-Quade ist deshalb klar: "Die größte Herausforderung, vor der wir stehen, ist die Gesamtsystemsicherheit." Es nützt also wenig, wenn die schwere Stahltür mit fünf Riegeln fest verschlossen ist, das Fenster aber halb offensteht.

"Wir sollten nicht alles vernetzen"

In Zusammenarbeit mit der Helmholtz-Gemeinschaft, der größten Wissenschaftsorganisation in Deutschland. Ihre Aufgabe ist es, durch Spitzenforschung dazu beizutragen, große und drängende Fragen von Gesellschaft, Wissenschaft und Wirtschaft zu lösen.

Folgen:

Diese Herausforderung wächst umso mehr, je schneller die Systemgrenzen fallen. Denn heute sind nicht nur Computer und Telefone über das Netz miteinander verbunden. Auch Kraftwerke und Industrieanlagen, Kühlschränke und Fernseher oder Smart Home Systeme und Stromzähler tauschen sich untereinander aus. "Wir sollten nicht alles vernetzen, was theoretisch vernetzt werden kann", sagt der IT-Experte. "Denn viele Menschen sehen nicht die Skalierbarkeit von Cyber-Angriffen."

Was er damit meint, ist mit einem Ausflug ins klassische Gangstermilieu leicht erklärt: In der Offline-Welt skaliert die Anzahl der Einbrüche mit der Zahl der Einbrecher. Denn selbst der schnellste Dieb kann nur in eine bestimmte Anzahl Gebäude pro Nacht eindringen. "Bei Cyber-Angriffen ist das nicht mehr gegeben", sagt Jörn Müller-Quade. "Hier sind einem fähigen Angreifer kaum Ressourcengrenzen gesetzt." Denn die Ressourcen für einen Angriff muss der Täter nicht immer selbst vorhalten. Oft lässt er auch gekaperte Computersysteme argloser Nutzer auf der ganzen Welt für sich arbeiten. Zu den Attacken dieser Art gehören Überlastungsangriffe, im Fachjargon als Distributed-Denial-of-Service Attack bezeichnet.

"Bei solchen Attacken flutet der Angreifer das System des Opfers mit enormem Datenverkehr", erklärt Christian Rossow. Der Professor für Computersicherheit leitet die Forschungsgruppe Systemsicherheit am Helmholtz-Zentrum für Informationssicherheit (CISPA). "Dieser übersteigt in der Regel die Verarbeitungskapazitäten des Opfers und legt zum Beispiel dessen Webseite lahm, da reguläre Anfragen kaum noch beantwortet werden können." Das ist in etwa so, als würde man jemandem tausende unbedeutende Briefe am Tag schicken. Das würde den oder die Betroffene überlasten. Oft nutzen die Angreifer dafür hunderte Computer auf der ganzen Welt, die sie vorher mit einem Schadprogramm infiziert haben. Ohne dass die Besitzer etwas merken, werden ihre Rechner damit zur Waffe umfunktioniert.

"Solche Angriffe erfolgen zum Beispiel auf Webseiten und Online-Shops", erklärt der Experte. Dadurch entstehen nicht nur Imageschäden, sondern mitunter auch gravierende Umsatzausfälle. Das kann von einem Mitbewerber ebenso gewollt sein, wie von Aktivisten oder Geheimdiensten. "Manche dieser Angriffe werden aber auch genutzt, um die Menschen, Unternehmen oder Organisationen zu erpressen", fügt er hinzu. "Mit diesen Angriffen ist es aber auch möglich, kritische Infrastrukturen direkt zu attackieren", sagt Christian Rossow. "Sind beispielsweise mehrere Kraftwerke für eine Fernsteuerung verbunden, könnte ein Massenangriff empfindliche Störungen verursachen."

Jeden Tag Zehntausende Angriffe

Technik 04.05.22

Tracker und bösartige Links Viele Antivirus- und Reinigungs-Apps sind gefährlich

Der IT-Experte und sein Team haben es sich deshalb zur Aufgabe gemacht, solche Massenangriffe im Internet zu finden. "Wir machen uns zum Honigtopf", sagt er schmunzelnd. "Das heißt, wir geben uns als missbrauchbares Mittelsystem aus." Beißt der Angreifer an, nutzt er Rossows weltweit verteiltes Netzwerk aus angemieteten Servern für seine Angriffe und der IT-Experte ist mittendrin. "Wenn der Angriff mithilfe unserer Systeme gestartet wird, stehen wir natürlich vor einem Dilemma. Wir wollen einerseits nicht auffallen, uns andererseits aber auch nicht aktiv am Angriff beteiligen. Deshalb senden wir nur wenige Datenpakete, um Schaden abzuwenden." Dafür sitzt sein Team aber in der ersten Reihe und kann die Angriffe live dokumentieren. Und davon finden sie jeden Tag Zehntausende.

"Auf diese Weise können wir den Opfern schnell Bescheid geben, damit sie Gegenmaßnahmen ergreifen", erklärt er, "und wir können helfen, die Angreifer zu identifizieren." Dafür haben Christian Rossow und sein Team eine spezielle Fingerprint-Methode entwickelt. Sie verpassen jedem Angreifer einen persönlichen Fingerabdruck und können so herausfinden, wo sein Netzwerk steht. "Wir arbeiten mit den Landeskriminalämtern und mit Europol zusammen, um solche Angreifer aufzuspüren", sagt der IT-Spezialist. "Früher waren die Angriffe völlig anonym, was eine Strafverfolgung nahezu unmöglich machte. Mittlerweile ist auch das FBI sehr an unseren Diensten interessiert."

Für die Forscherinnen und Forscher bei CISPA ist das ein aktives und spannendes Forschungsfeld. "Unser Fingerabdruck hilft oft, aber eben nicht immer", sagt Christian Rossow. "Deshalb suchen wir ständig nach neuen Möglichkeiten, die Verursacher solcher Massenangriffe zu identifizieren."

Weiterlesen: Dieser Artikel erschien zuerst auf helmholtz.de.