Unabhängige Experten- und Marktplattform für die Schweiz.


Experten- und Marktplattform

Presenting-Partner

Presenting-Partner Logo bluewaysPresenting-Partner Logo blueways
Presenting-Partner Logo EcoCloudPresenting-Partner Logo EcoCloud
Presenting-Partner Logo HostpointPresenting-Partner Logo Hostpoint
Presenting-Partner Logo Interxion SchweizPresenting-Partner Logo Interxion Schweiz
Presenting-Partner Logo ISE AG Informatik Solutions EinsiedelnPresenting-Partner Logo ISE AG Informatik Solutions Einsiedeln
Presenting-Partner Logo myfactory Software Schweiz AGPresenting-Partner Logo myfactory Software Schweiz AG
Presenting-Partner Logo Security-Finder SchweizPresenting-Partner Logo Security-Finder Schweiz
26.07.2013

«Ich bin vermutlich etwas paranoid geworden»

Löchrige SIM-Karten, die Hackern Zugang zum Handy verschaffen: Wie verwundbar sind wir? Dazu Informatikprofessor Hannes Lubich.

Der Informatikprofessor an der Fachhochschule Nordwestschweiz beschäftigt sich seit über 20 Jahren mit Betriebssystemen, Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risiko-Management. Während sieben Jahren war er Chief Information Security Officer der Julius Bär Gruppe.

Fühlen Sie sich jetzt, da die SIM-Sicherheitslücke bekannt ist, weniger sicher als noch vor einer Woche?
Nein, weniger sicher fühle ich mich nicht. Dass diese Sicherheitslücke irgendwann publik wird, war abzusehen, denn die schwache Verschlüsselung in SIM-Karten war schon lange bekannt. Es braucht dann aber immer jemanden, der an die Öffentlichkeit geht und zeigt, dass diese Systeme tatsächlich angreifbar sind. Aber die Experten haben das gewusst, und von da her ist es für mich keine Überraschung.

Nach den Diskussionen um PRISM und die SIM-Sicherheitslücke rückt die Frage nach der Sicherheit wieder in den Fokus. Gibt es denn überhaupt so etwas wie absolute Sicherheit?
Vom Begriff her kann es das gar nicht geben. Der Begriff «absolut» setzt voraus, dass man das Maximum kennt, und das kenne ich nicht. Ich habe eine relative Sicherheit, die dem Problem angemessen sein muss. Die kann ich erheben, die kann ich messen. Aber absolute oder nur schon eine sehr hohe Sicherheit wäre so prohibitiv teuer, dass der Konsument in erster Linie das grosse Preisschild sähe und den sicheren Service erst in zweiter Linie.

Es gibt also einen Kompromiss?

Wir müssen bei Sicherheit immer fragen, was ist das schützenswerte Gut und was ist es wert. Und erst dann kann ich abschätzen, wie viel Geld ich in die Hand nehmen muss, um dieses Gut auch vor der identifizierten Bedrohung zu schützen. Aber es bleiben immer Risiken übrig und die kann ich nur transferieren, etwa durch Versicherungen. Oder ich kann sie vermeiden, indem ich etwas nicht tue oder ich akzeptiere das verbleibende Restrisiko und lege mir einen Plan B zurecht.

Wenn man jetzt in einem Bereich, etwa bei einem Atomkraftwerk, maximale Sicherheit möchte, wie wird das dort gewährleistet?
Wir haben immer dort, wo eine formale Zertifizierung der Informatikmittel und der Sicherheit der Informatik erfolgt, eine deutlich höhere Sicherheit, zum Beispiel im Flugverkehr, in der Medizin und in Kraftwerken. Das heisst, höhere Sicherheitsanforderungen haben wir immer dort, wo ein Regulator zusätzliche Hürden aufbaut und auch überprüft, ob diese Anforderungen auch tatsächlich eingehalten werden. Aber das hat nichts mit der Sicherheit zu tun, die wir im Alltag einsetzen, weil dort die Prüfung und die Zertifizierung wiederum so aufwendig und so teuer wären, dass der Konsument das Produkt entweder sehr spät bekommt oder zu einem Preis, der es nicht attraktiv macht. Hier müssen wir akzeptieren, dass durch den Markt Kompromisse entstehen.

Wie schätzen Sie vor dem Hintergrund die Folgen der SIM-Sicherheitslücke ein, ist das ein GAU oder kleines Wetterleuchten am Telecommunikations-Horizont?
Man hat jetzt einmal sehr viel Aufmerksamkeit geschaffen und es wird jeder Provider auf der Welt mit derselben Frage konfrontiert: Hat er Geräte beim Kunden, in denen SIM-Karten mit diesem Problem stecken? Wir werden die nächsten Tage beobachten müssen, welche Rückläufe da erfolgen, aber weil es kein weltweites Register von SIM-Karten gibt, gibt es keine einfache Möglichkeit, herauszufinden, wie viele Geräte tatsächlich betroffen sind. Man spricht im Moment seitens der Internationalen Telecommunikations-Union, sehr vorsichtig, von einer potenziellen Anzahl Geräte von einer halben Milliarde oder mehr, aber es ist im Moment schwer nachweisbar, ob das tatsächlich die Zahl ist oder ob die Zahl grösser oder kleiner ist.

In der Schweiz haben die drei grossen Anbieter vorerst Entwarnung gegeben, aber wie sieht das in Drittweltländern aus?

Es wäre denkbar, dass das Risiko dort höher ist. Zum Beispiel wenn alle SIM-Karten in einem Land diesen Fehler aufweisen, weil sie zu einer Zeit in Umlauf gebracht wurden, zu der dieser Fehler in den Karten existierte. Man darf aber nicht vergessen, dass in vielen dieser Länder Technologie erst sehr spät ausgerollt wurde, und es ist sehr gut möglich, dass dort modernere Mobilkommunikations-Infrastrukturen aufgebaut wurden als bei uns, wo wir Generation um Generation neue Technologie eingeführt und erneuert haben. Es ist also gut denkbar, dass einzelne Länder stark betroffen sind und andere gar nicht, da sie von Null direkt auf eine vernünftige Technologiestufe gesprungen sind, in der zumindest dieser eine Fehler nicht existiert.

Was für eine Motivation hat denn ein Angreifer, diese Schwachstelle auszunutzen?
Die Motivation von Angreifern umfasst inzwischen eine sehr grosse Palette von Einzelausprägungen. Wir haben zum einen den klassischen Hacker, der zeigen will, dass etwas nicht funktioniert, und für sich auch ein kleines bisschen Bekanntheit haben will, weil er oder sie als Erste in ein System eingedrungen ist. Dann haben wir die Leute, die ein Sicherheitsbewusstsein haben, das sich dadurch ausprägt, dass sie anderen zeigen wollen, dass sie unsichere Systeme haben. Und dann haben wir die kommerzielle und vielleicht sogar die staatliche Aufklärung, die ebenfalls auf Schwachstellen angewiesen ist, um an Daten zu kommen. Im Fall der SIM-Karte ist denkbar, dass unter anderem Angriffe auf das Telebanking erfolgen. Die sind aber technologisch nicht ganz trivial und der Aufwand, den der Angreifer leistet, muss in einem sinnvollen Verhältnis zum Ertrag stehen – inklusive des Risikos, am Schluss das Geld abzuholen, ohne dabei erwischt zu werden. Insofern glaube ich, dass im Moment einmal technisch demonstriert werden kann, dass eine Schwachstelle existiert. Für eine flächendeckende Ausnutzung dürfte aber kein Markt vorhanden sein.

Das Problem mit den technologischen Altlasten ist aber nicht nur bei den SIM-Karten vorhanden?
Wenn wir hinter dieses SIM-Karten-Problem schauen, ist es ein Problem der Verwendung eines Chiffrier-Algorithmus mit einer Schlüssellänge, die zum Zeitpunkt der Einführung als sicher genug angesehen wurde. Nun hat sich die Rechenleistung weiterentwickelt, und was vor 15 Jahren adäquate Sicherheit war, ist es heute nicht mehr. Nicht weil das Gerät schlechter geworden wäre, sondern weil sich die Technologie bezüglich Leistungsfähigkeit weiterentwickelt hat. Ich fürchte, wir haben sehr viele potenziell gefährdete Systeme, in denen ähnliche Technologien verbaut worden sind. Etwa Steuer- und Leitsysteme, bei denen der Hersteller nicht mehr verfügbar ist, um Updates zu machen, oder bei denen der Anwender vielleicht gar nicht weiss, dass er eine Technologie zur Sicherung verwendet, die inzwischen veraltet ist. Es ist also durchaus denkbar, dass wir hier im Moment nur die Spitze eines Eisbergs sehen.

Sie beschäftigen sich seit über 20 Jahren beruflich mit Systemsicherheit, da stellt sich natürlich die Frage, wie schützen Sie sich privat?
Ich bin über die vielen Jahre in der IT-Sicherheit vermutlich ein bisschen paranoid geworden wie alle meine Kollegen auch. Ich setze auf Redundanz. Schon allein bei mir zu Hause habe ich zwei komplett getrennte Systeme mit Netzwerkeinspeisungen von zwei verschiedenen Providern. Für heikle Dinge wie Telebanking oder das Entwerfen von Prüfungsaufgaben habe ich separate Rechner, die nur für diesen einen Zweck verwendet werden. Das heisst aber, dass ich sehr viel Aufwand betreibe zur Sicherung meiner Infrastruktur. Ich zahle entsprechend dafür und habe zusätzlichen Supportaufwand. Für Informatiker geht das, aber einem normalen Nutzer würde ich das nicht zumuten wollen. Ich suche mir meinen Plan B, aber ich bin mir bewusst, dass ich dafür Aufwand treibe, den nicht jeder treiben kann oder treiben will.

Und wie haben Sie es mit dem Mobiltelefon?

Ich habe ein erstaunlich altes Handy (ein HTC mit Aufschiebtastatur und Windows Mobile, Anm. d. Red.), das viele Funktionen, die es angreifbar machen würden, gar nicht hat. Ich habe eine Version des Betriebssystems, die ich kenne und seither auch nicht mehr aktualisiert habe, weil ich dadurch möglicherweise mehr Schaden anrichte, als Gutes tue. Ich verwende es sehr selektiv und nur für unkritische Dinge. Ich übermittle wenig Informationen über öffentliche Services und ich habe alle Informationen auch auf dem Handy verschlüsselt. Auch hier ist mir bewusst, dass ich einen Mehraufwand betreibe und Komforteinbussen in Kauf nehme, die ein normaler Benutzer sich so nicht leisten würde.

Was raten Sie denn einem normalen Nutzer?
Ich rate zur Vorsicht. Ich empfehle, sich bei jeder Information, die man in so einem Gerät speichert, zu überlegen, in welchem Kontext diese schädlich oder gar gefährlich sein kann. Es ist erstaunlich, wie viele Geräte Daten enthalten, die aus reiner Sorglosigkeit und reinem Komfortdenken darauf abgelegt wurden.

Quelle: www.tagesanzeiger.ch


von:  Prof. Dr. Hannes Lubich


SOCIAL NETWORKS

myCloudService

Wählen Sie hier Ihre Anforderungen und lassen Sie sich die passenden Angebote / Anbieter anzeigen:

  • Dienstleistungen
  • Cloud Business Software
  • Infrastructure Cloud Services
  • Cloud Governance
  • Cloud-Security-Services
  • Cloud-Technologie /-Service-Art
  • RZ-Infrastruktur
  • Support Services
  • Usability
  • Zertifizierung / Empfehlung

Cloud-/ DL-/ RZ-Anbieter

Gartner & Cloud Computing

Cloud-Finder.Swiss

Bundesrätin Doris Leuthard
«Der Bund will Firmen unterstützen, die in der Schweiz investieren und Arbeitsplätze schaffen. Diese Firmen erhalten mit .swiss die Gelegenheit, sich im internationalen Wettbewerb optimal zu positionieren.» dot.swiss/medien/


Werden Sie jetzt Mitglied bei

Buchempfehlung

Partner