Angriffe ohne Spielregeln IT-Sicherheitslücken können faszinierend sein. Aber nur, wenn man darüber forscht.
„Angreifer auf IT-Systeme müssen sich an keine Spielregeln halten. Wo die Eisdecke dünn ist, dort brechen sie durch“, sagt Prof. Konrad Rieck. Mit dem Leiter des Instituts für Systemsicherheit haben wir über Hackerattacken auf Universitäten und die Sicht der Forschung gesprochen. „Attacken setzen meist am schwächsten Element an, und das kann sich im Grunde überall befinden: In den Rechnern, den Internet-Diensten, in E-Mails oder Dokumenten, die wir öffnen. Die Angriffsflächen sind immens. Denn dort wo wir offen sind, sind wir auch verwundbar. Und eine Universität ist eine sehr, sehr offene Einrichtung.“
Vielen Nutzer*innen ist nicht klar, dass es sich bei Viren und Co. nicht nur um Codes handelt, die von Jugendlichen zum Spaß programmiert werden. Rieck erklärt: „Wir haben es bei Angriffen auf Universitäten schon seit etlichen Jahren mit Kriminellen zu tun, die hochgradig professionell und arbeitsteilig vorgehen. Die einen brechen ein, andere suchen nach Daten, wieder andere verkaufen dann die Daten. Das kann jeweils eine Gruppe sein, oder auch mehrere Gruppen, die kooperieren. Wie im echten Leben auch gibt es Banden. Und es gibt Kunden, die für Daten zahlen. Dann suchen die Kriminellen gezielt nach Unis, von denen sie wertvolle Daten bekommen können.“
Diebstahl, Spionage, Erpressung
Drei Kategorien unterscheidet Rieck: Die kriminelle Verwertung von gestohlenen Personendaten, Spionage auf Forschungsdaten, und Erpressung. „Wer an die Daten der Beschäftigten oder Studierenden herankommt, kann sich mit deren Anschrift oder Geburtsdatum zum Beispiel Zugangscodes für bestimmte Systeme erschleichen und dann in Online-Shops auf deren Kosten einkaufen gehen. Ein Beispiel für Erpressung: Wenn unsere Personaldaten plötzlich verschlüsselt wären, dann wäre es der Universität sicherlich einiges Wert, wieder den alleinigen Zugriff darauf zu erhalten – wobei man Erpresser*innen natürlich grundsätzlich nicht bezahlen soll.“
Schützen, was wertvoll ist
Rieck schaut auf die Möglichkeiten, um Universitäten und andere Einrichtungen zu schützen. Natürlich gebe es technische Lösungen sagt er, die die TU Braunschweig auch umfassend einsetze: Virenscanner beispielsweise in jedem Windows-System und Firewalls für jedes Netzwerk, dazu die kurz getaktete Erstellung von Backups. Probleme würden im Gauß-IT-Zentrum schnell behoben. Doch es gebe ein ständiges Wettrüsten zwischen den Entwickler*innen von Sicherheitssystemen und denen der Schadsoftware, die diese wiederum umgeht. Alle Daten gleichermaßen gut zu schützen, sei in einer so großen Einrichtung wie der TU Braunschweig gar nicht möglich.
„Wir müssen also erst einmal sortieren, was wertvoll ist und was nicht so wichtig. Dazu muss man gut nachdenken.“ Zu den wichtigsten Schätzen einer Hochschule gehörten ihr Forschungs-Know-How sowie viele Personendaten, die beispielsweise wichtige Prüfungsleistungen umfassen. Auch die Zugangsdaten zu den eigenen IT-Diensten und den Diensten Dritter seinen mit hoher Priorität zu behandeln.
Der richtige Köder führt Hacker zum Ziel
Wenn man die Technik im Griff hätte, wären immer noch die Menschen da, die Sicherheitswarnungen wegklicken oder unbedacht Zugangsdaten preisgeben. „Das ist menschlich, wir sind alle dafür anfällig, man muss nur die richtigen Köder auslegen“, meint Rieck. Wenn man zum Beispiel zu einem Termin mit einer Kollegin verabredet sei, dann sei es sehr wahrscheinlich, dass man an diesem Tag E-Mails öffnet, die scheinbar von dieser Absenderin stammen. Das könne auch ihm selbst passieren. Deshalb ist es ihm wichtig, zu sensibilisieren.
Stichwort Dezentralität
In die Systeme einer anderen Universität, die jüngst Opfer einer Hacker-Attacke geworden ist, wurde zunächst von einem dezentralen Rechner aus eingedrungen. Personenbezogene Daten wurden gestohlen und vermutlich verkauft. Auch an der TU Braunschweig gibt es aus unterschiedlichen Gründen etliche Rechner, die von Instituten und Einrichtungen selbst gepflegt werden. Es kann so Software individuell und unkompliziert für Forschung und Lehre eingesetzt werden. Auch Riecks eigenes Institut für Systemsicherheit zum Beispiel betreibt dezentrale IT-Systemen mit speziellen Forschungsaufgaben.
Gerade diese Rechner sind vom Gauß-IT-Zentrum aus schlecht zu schützen. Gleichzeitig müssen dezentrale Rechner aber auch mit zentralen IT-Anwendungen reden können. „Es ist also möglich, dass es irgendwo in den Instituten schon unbemerkt Schadsoftware gibt, die von dort aus die zentralen Systeme attackieren kann“, sagt der Experte.
Jede*r ist wichtig
Arbeitsplätze, die nicht von Schadsoftware bedroht seien, gebe es praktisch nicht. „Jede und jeder ist wichtig“, erläutert Rieck, „auch diejenigen, die vielleicht denken, besonders relevante Daten hätten sie nicht. Wenn auf dem eigenen PC die Schadsoftware zuschlägt, dann muss man diesen lahmlegen und hat dann vielleicht wochenlang kein Arbeitsgerät. Oder schlimmer noch: Das ganze Team kann betroffen sein. Das wäre fatal.“