Thomas Hemker von Symantec über IT-Sicherheit, 5G und Deepfakes
IT-Sicherheit und Datenschutz sollten auch 2019 Top-Prioritäten von Schweizer Unternehmen sein. Die Angreifer setzen vermehrt auf Machine Learning. Thomas Hemker, Director Security Strategy von Symantec, erklärt im Interview, wie Unternehmen und die Anbieter von Security-Lösungen darauf reagieren können.
Was sind für Firmen 2019 die grössten Herausforderungen in der IT-Sicherheit?
Thomas Hemker: Zum einen die anwachsende Bedrohungslage, zum anderen die Umsetzung einer Sicherheitsstrategie in technischen und organisatorischen Massnahmen, wie sie dem Stand der Technik entsprechen. Dies ist hinsichtlich der Gefahrenabwehr wie auch der Erfüllung regulatorischer Vorgaben wichtig. Schauen wir auf die technologische Entwicklung für 2019, so stellen wir fest, dass Datendiebstähle im Bereich der Benutzerkonten zunehmen. Dabei wird nicht nur vermehrt Machine-Learning-basierte Sicherheitstechnologie angegriffen, sondern diese Technologie kommt dafür auch selbst zur Anwendung, damit Angriffe effektiver werden. Neue Netzwerktechnologien und Infrastrukturen, zum Beispiel 5G und IoT, vergrössern die Angriffsfläche für Unternehmen massiv, und gleichzeitig steigt hierdurch auch die Gefahr, über eine unsichere Lieferkette zum Opfer eines Angriffs zu werden. Im Bereich der Sicherheitstechnologie, insbesondere der Detektion und Analyse von Angriffen, werden Systeme des maschinellen Lernens und der sogenannten künstlichen Intelligenz aber immer wichtiger und sollten definitiv von Firmen für die Abwehr in Betracht gezogen werden. Eine risikobasierte Herangehensweise ist hier die zwingende Grundlage für eine funktionierende IT-Sicherheitsstrategie beziehungsweise deren Umsetzung.
Wie reagieren Anbieter von Security-Lösungen darauf, dass Hacker vermehrt auf künstliche Intelligenz und Machine Learning setzen?
Die Industrie reagiert nicht nur, sondern sie agiert hier. Zunächst einmal wurden diese Methoden in Sicherheitstechnologien zum Aufspüren von Schadsoftware, Angriffen im Netzwerk und bei der Bekämpfung von Phishing-Seiten eingesetzt. Mittlerweile gibt es viele Bereiche, in denen die Sicherheitstechnologie hier die Nase vorn hat, sofern die Verfahren richtig implementiert werden. Wichtig ist auch die Grundlagenforschung zu dem Thema, um Trainingsdaten und Algorithmen für den Einsatz in Sicherheitstechnologie vorzubereiten und zu entwickeln, damit diese robuster gegen Angriffe von aussen ist. Die Symantec Research Labs haben hierzu einige Paper veröffentlicht. In unseren Sicherheitstechnologien finden sich diese Techniken schon seit 2007. Schlecht implementierte Machine-Learning- und KI-Systeme können von Angreifern mit "falschen" Informationen gefüttert und dadurch umgangen werden. Dieses sogenannte Adversarial Machine Learning ist auch ein wichtiger Forschungsschwerpunkt bei uns. Dies zeigt uns aber auch, dass diese Verfahren niemals nur allein zum Einsatz kommen sollten, sondern dass es vernünftig ist, immer verschiedene Sicherheitstechnologien miteinander zu kombinieren. Auch die Angreifer nutzen natürlich diese Verfahren, um die eigenen Angriffe effektiver und effizienter zu machen, um zum Beispiel grössere Bot-Netze besser steuern zu können, leichter Schwachstellen zu finden oder ausgefeilte Social-Engineering-Angriffe durchzuführen, die durch sogenannte Deepfakes erzeugt werden.
Könnten Deepfakes und Fake-Videos 2019 die diplomatischen Beziehungen von Ländern erschüttern?
Wir sehen, dass Deepfakes möglich sind und der Aufwand, diese herzustellen, immer geringer wird. Fake-Videos haben wir auf einem niedrigeren technischen Niveau bereits im Unternehmensumfeld gesehen, zum Beispiel zur Konto-Authentifizierung bei Banken. Ob dies 2019 auch die Beziehungen zwischen Ländern und Regierungen beeinträchtigen wird, bleibt abzuwarten. Allerdings werden die Fake-Videos immer ausgefeilter, und wenn sich Regierungen davon einen Vorteil versprechen, könnten sie diese einsetzen. Ich könnte mir auch vorstellen, dass es damit wie mit Malware- und anderen Cyberangriffen ist: Sie werden so aufgesetzt, dass diese Aktionen nicht einer bestimmten Regierung zugeordnet werden können. Regierungen werden auch weiterhin grossen Wert darauf legen, dass sie Angriffe bestreiten können. Diese Angriffe zur Desinformation der Nutzer können aber im EU-Wahljahr 2019 durchaus auftreten. Allerdings werden die Techniken, diese Falschinformationen zu entlarven, auch immer besser.
Was genau sind Deepfakes? Erfahren Sie mehr darüber in diesem Hintergrundartikel.
Wann wird das Internet der Dinge endlich sicher?
Hundertprozentige Sicherheit wird es auch im Internet der Dinge nicht geben. Die Sicherheit des IoT lässt sich jedoch deutlich verbessern, indem Hersteller von Geräten die Security direkt bei der Planung berücksichtigen. Viele Geräte, die heutzutage angeboten werden, sind per se unsicher, etwa durch die Verwendung von festen, aber bereits bekannten Passwörtern oder der Verwendung von Betriebssystemen und Anwendungen mit bekannten Schwachstellen, die nicht behoben werden. Security by Design wäre hier sehr notwendig. Wir werden sehen, ob dies durch die Selbstverpflichtung der Hersteller, der Verwendung von Gütesiegeln oder nur durch knallharte Regulierung mit Prüf- und Zulassungsprozessen erreicht werden kann.
Welche Auswirkungen auf die IT-Sicherheit hat die Einführung von 5G?
Je mehr Geräte sich mit dem 5G-Netz verbinden, desto anfälliger werden sie für Cyberangriffe, da ein Router den Netzwerkverkehr oftmals nicht mehr zentral steuert. Da Verbraucher eine immer höhere Anzahl an 5G-Geräten einsetzen, wird es für sie künftig immer schwieriger, alle IoT-Geräte zu kontrollieren. Die wachsende Nutzung von cloudbasierten Speichern schafft ausserdem weitere neue Angriffsziele. Bis diese Herausforderungen bewältigt und entsprechende Security-Massnahmen implementiert sind, bleibt das IoT nicht nur im 5G-Kontext ein attraktives Ziel für Cyberkriminelle.
Wie sicher ist 5G überhaupt?
Als Sicherheitsziel steht Verfügbarkeit bei solchen Standards sicherlich immer an erster Stelle. Nichtsdestotrotz gibt es dabei gute Ansätze, die Sicherheit, etwa von Authentifizierungen, gegenüber den Vorgängerversionen nochmals zu erhöhen. Letztlich kommt es natürlich auch immer auf die jeweilige Implementierung des Standards in den einzelnen Komponenten an. Gerade im IoT-Bereich tummeln sich viele Hersteller im Billigsegment. Wie erwähnt, bin ich da skeptisch, ob diese freiwillig Wert auf Sicherheit legen werden.
Kann die Blockchain helfen, IT-Technologien sicherer zu machen?
Hier kommt es natürlich immer auf die Fragestellung beziehungsweise das Problem an, um wirklich beantworten zu können, ob Blockchain – respektive Distributed-Ledger- Technologien im Allgemeinen – als Werkzeug für mehr Sicherheit eingesetzt werden kann. Wenn die Integrität von Nachrichten, deren Vertraulichkeit, das Überprüfen von Transaktionen beziehungsweise die Verwundbarkeit eines zentralen Systems eines der Probleme ist, die es zu lösen gilt, so kann diese Technologie gegebenfalls eine Antwort sein. Die Handreichung des Teletrust-Verbands zu diesem Thema zeigt ein paar interessante Ansätze zur Verwendung von Blockchain-Technologien im Sicherheitsumfeld. Was die Sicherheit der Blockchain selbst angeht, so muss man hier klar zwischen den verschiedenen Anbietern und den Implementierungen unterscheiden. Letztlich sprechen wir natürlich, ausser über die Sicherheit der kryptografischen Verfahren, auch wieder über die Themen Anwendungssicherheit, Identity- und Access-Management und Netzwerksicherheit.
Was können Staaten tun, um mehr Cybersicherheit zu schaffen?
Genau wie Unternehmen können Staaten Bürger und Politiker regelmässig über aktuelle Bedrohungen informieren und ihnen zeigen, wie sie sich schützen können. Zum Beispiel mit starken Passwörtern, Zwei-Faktor-Authentifizierung oder damit, Daten nicht an Unbekannte herauszugeben. Security-Lösungen sind nur so gut, wie das Wissen von Bürgern und Politikern um die Security. Aufklärungskampagnen sind daher ein gutes Mittel, das Bewusstsein zu schärfen. Darüber hinaus sollten Behörden, Justiz und Security-Unternehmen zusammenarbeiten und Informationen austauschen. So lassen sich Angriffe schneller identifizieren und aufspüren.
Und die Politik?
Die Politik kann mit Vorgaben wie Meldepflichten für Angriffe auf kritische Infrastrukturen oder Compliance-Richtlinien insgesamt unterstützen. Damit erfüllt sie eine wichtige Aufgabe, nämlich, dass für alle Unternehmen und Bürger die gleichen Rechte, aber auch Vorgaben gelten – und damit einheitliche Regeln für alle.
Immer mehr Firmen setzen auf Biometrie, um ihre IT-Sicherheit zu erhöhen. Ist das der richtige Weg? Im Darkweb kursieren ja bereits Fingerabdrücke und Iris-Daten.
Die gängigen biometrischen Verfahren sind leider alle, zumindest unter Laborbedingungen, bereits als (allein) nicht ausreichend sicher getestet worden. Das erfolgreiche Umgehen der Handvenenscanner-Authentifizierungssysteme, wie es auf dem letzten Chaos Communication Congress vorgestellt wurde, ist da nur ein aktuelles Beispiel. Grundsätzlich lässt sich aber auch hier sagen, dass der Einsatz von biometrischen Systemen abhängig von der Risikobewertung und der Nutzerakzeptanz in verschiedenen Bereichen durchaus sinnvoll sein kann. Aber grundsätzlich würde ich immer dazu raten, mehr als einen Faktor (Besitz, Wissen etc.) für eine sichere Authentifizierung zu benutzen.
Wie sollen Unternehmen vorgehen, wenn sie Opfer einer Cyberattacke werden?
Unternehmen sollten bereits im Vorfeld für den Ernstfall vorsorgen, zum Beispiel mit Krisenreaktionsplänen und einer Reihe von Werkzeugen, die sich schnell einsetzen lassen. Firmen sparen dadurch eine Menge Zeit und Geld. Symantec bietet beispielsweise eine Reihe von Services an, die Organisationen dabei unterstützen, möglichst schnell dem Angriff Herr zu werden und die entstehenden Kosten zu minimieren und ein Unternehmen proaktiv auf einen Krisenfall vorzubereiten. Die Incident-Response-Teams sind so aufgestellt, dass sie im Falle eines Angriffs vor Ort und aus der Ferne helfen können. Eine detaillierte Analyse von Netzwerkverkehr, Log-Daten und Dateien auf Rechnern und Mobilgeräten spürt die Angreifer dann auf. Basierend darauf lassen sich sofort Gegenmassnahmen einleiten und Systeme und Infrastrukturen bereinigen. Im Anschluss sollten Unternehmen überlegen, ob sie nicht in die Entwicklung eines entsprechenden Plans investieren, um ihre Sicherheitsmassnahmen, wenn notwendig, zu verbessern und so den Reifegrad einer Organisation weiterzuentwickeln. Wichtig erscheint mir auch, dass man das Zusammenspiel zwischen der technischen Bewältigung und den organisatorischen Notwendigkeiten (u.a. Meldepflichten) definiert und auch immer wieder probt.