Experten unterscheiden zwischen zwei Formen von Sicherheit. Da die deutsche Sprache keine Worte bereitstellt, um diese Unterscheidung zu treffen, behilft man sich mit den Anglizismen "Safety" und "Security".

Ersteres umfasst die Sicherheit angesichts der Gefahren für Leib und Leben. Mit "Security" bezeichnet man demgegenüber die Sicherheit vor Angriffen auf Computersysteme. Am Beispiel Automobil kann man das gut erklären: Ein Sicherheitsgurt sorgt für Safety, die Verschlüsselung der Kommunikation des Bordcomputers für Security. "Safety hat oberste Priorität. Aber Security kann sie beeinflussen", so Andreas Gerstinger, Safety Manager bei der Firma Frequentis.

Das Unternehmen ist Anbieter von Sicherheitslösungen für sensible Systeme im Verkehrs- und Militärwesen oder in der zivilen Luftfahrt. Eine sich innerhalb der Cybersecurity-Community immer mehr durchsetzende Einsicht besagt, dass Security bereits beim Designen von Computersystemen berücksichtigt, also "eingebaut", werden muss. Für Safety gilt das naturgemäß schon von jeher.

Widersprüchliche Anforderungen

Was theoretisch plausibel klingt, ist in der Praxis leider nicht so einfach. "Es gibt Situationen, in denen sich die Anforderungen von Safety und Security widersprechen", erklärt Gerstinger. Diesen unerfreulichen Umstand führte Gerstinger vergangene Woche im Rahmen der Vienna Cyber Security Week (VCSW) aus.

Die internationale Sicherheitskonferenz wird von der Energypact Foundation, dem Austrian Institute of Technology (AIT) und der Aussenwirtschaft Austria organisiert.

In diesem Jahr galt der thematische Fokus dem Thema Cybersecurity in kritischen Infrastrukturen, die beispielsweise Flugzeuge, Krankenhäuser, Industrieanlagen, Kraftwerke oder die Energieversorgung umfasst.

Dass Safety und Security, obschon dem gleichen Ziel verpflichtet, nicht immer in trauter Harmonie an der Erreichung desselben arbeiten, veranschaulicht Gerstinger an einem Beispiel: Die Security-Abteilung erfährt von einer Sicherheitslücke in einem ihrer Systeme. Glücklicherweise hat der Anbieter bereits einen Sicherheitspatch bereitgestellt, der die Lücke schließt. Ein in der IT-Welt alltäglicher Vorgang.

Langwieriger Prozess

Geht es allerdings um Safety-Systeme, erfordert jede Veränderung am System eine detaillierte Analyse möglicher Auswirkungen. Es sind Tests durchzuführen, ob die geplante Veränderung die Sicherheit des Systems nicht gefährdet, Freigaben müssen eingeholt und die Konformität mit rechtlichen Rahmenbedingungen geprüft werden. "Dieser Prozess kann bis zu einem halben Jahr dauern", sagt Gerstinger.

In besonders sicheren IT-Systemen ist es üblich, Nutzerzugriff erst nach einer Zwei-Faktor-Authentisierung zu gewähren. Beim Onlinebanking gehören ein Passwort und ein per Handy verschickter Code dazu. In manchen Arbeitsumgebungen kann das aber zu lange dauern. "In der Flugverkehrskontrolle müssen Entscheidungen rasch getroffen werden", meint Gerstinger. "Da bleibt keine Zeit für eine Zwei-Faktor-Authentisierung."

Grundsätzlich ist die Safety-Welt an einer Diversifizierung ihrer Strukturen interessiert. Man setzt etwa auf Betriebssysteme verschiedener Anbieter, um sich nicht von einem Hersteller abhängig zu machen. Securityexperten hingegen warnen vor einer derartigen Strategie. Denn je diversifizierter eine Systemlandschaft ist, desto breiter sind die möglichen Angriffsflächen.

"Ein Safety-System sollte möglichst nicht mehr angefasst werden, wenn es einmal zugelassen ist", sagt Gerstinger. "In der Security ist es dagegen ganz selbstverständlich, sein System laufend zu prüfen und anzupassen." Es gibt bereits erste Standards in Ausarbeitung, die eine integrierte Risikoeinschätzung für Safety und Security implementieren. Im Bereich der Luftfahrt steht diesbezüglich etwa das Dokument EUROCAE ED-205 zur Begutachtung.

Gegen Cyberkriminalität

Auf der Vienna Cyber Security Week wurde nicht nur der Finger in offene Wunden gelegt. Viele der knapp 800 Teilnehmer aus 50 Ländern wussten auch von neuen Entwicklungen zu berichten, um Cyberkriminalität in die Schranken zu weisen. Etwa "Deception as a service" (dt.: "Täuschung als Dienstleistung") – ein griffiger Slogan, mit dem das Wiener Unternehmen Cybertrap Software sein Angebot umschreibt.

Es beruht auf einer simplen Idee: Wenn es schon nicht restlos gelingt, Angreifer von seinem System fernzuhalten, kann man wenigstens versuchen, ihrem Angriff die Gefährlichkeit zu nehmen. Etwa indem man Hackern harmlose Angriffsziele zum Fraß vorwirft. Dabei lockt man den Angreifer auf ein präpariertes System, auf dem er keinen Schaden anrichten kann.

Einen Köder legen

Der Köder muss drei Eigenschaften haben, erklärt Holger Sontag, Senior Cyber Security Consultant bei Cybertrap: "Er muss dorthin führen, wo es für den Angreifer spannend aussieht. Er muss authentisch aussehen. Und er darf für normale Nutzer nicht sichtbar sein."

Gleichzeitig zeichnet eine gut versteckte Software sämtliche Schritte des Angreifers auf und erstellt so ein sauberes Profil des Angriffsszenarios. Dieses kann man einerseits nutzen, um sein System sicherer zu machen. Weiß man beispielsweise, welche Tools der Angreifer verwendet, kann man deren Signatur einfach dem Malware-Scanner hinzufügen. "Wir können den Angreifer aber auch zurückverfolgen", so Sontag. "Wir wissen von vier Festnahmen durch unsere Technologie."

Konkrete Gegenmaßnahmen setzen im Allgemeinen voraus, dass ein Angriff als solcher erkennbar ist. Dafür hat das AIT die Software AECID (Automatic Event Correlation for Incident Detection) entwickelt, die mittels künstlicher Intelligenz Anomalien in Logfiles erkennt. "Herkömmliche Schutzmethoden basieren darauf, dass man explizit definiert, wer in ein System hineindarf und wer nicht", sagt Helmut Leopold, Leiter des Center for Digital Safety & Security am AIT.

Ein Virenscanner beispielsweise hat eine Liste bekannter Viren, eine Firewall blockt bestimmte IP-Adressen. Doch die wachsende Komplexität von System überfordert Systemadministratoren zunehmend mit dieser Aufgabe. Bei AECID übernehmen sie deshalb Algorithmen. Zu Beginn braucht man ein völlig unkompromittiertes, sauberes System, auf dem der AECID-Algorithmus den "Normalzustand" lernen kann.

Nach der Lernphase erkennt das Tool automatisch und in Echtzeit Abweichungen von diesem Normalzustand. Erfolgt beispielsweise am Wochenende ein Zugriff auf einen Server, der sonst nur während der Woche genutzt wird, ist das eine Anomalie und erst einmal verdächtig.

Ein zweiter Algorithmus sieht dann noch etwas genauer hin. Im Zweifelsfall schlägt er Alarm und informiert die Administratoren. Stellt sich heraus, dass der Zugriff in Ordnung geht, fügt AECID diese Erkenntnis dem Normalzustand-Modus hinzu. Dadurch lernt die Software laufend dazu und eignet sich insbesondere für Systeme, die sich ständig verändern. (Raimund Lang, 20.3.2019)