7. Schutz »im Kleinen«: Selbstschutz und nationale Strafverfolgung
7.2. Technischer und organisatorischer Selbstschutz
Es gibt eine Vielzahl von Maßnahmen, mit denen man sich – als Privatperson oder als Unternehmen – vor Cyberkriminalität schützen kann. Wie in anderen Bereichen der Prävention reichen schon wenige Maßnahmen aus, um ein hohes Schutzniveau zu erzielen. Die meisten dieser Maßnahmen sind gut dokumentiert (siehe etwa das Portal
»BSI für Bürger«, Bundesamt für Sicherheit in der Informationstechnik, o. J.) und werden durch die entsprechenden Interessengruppen und Behörden gebetsmühlenartig wiederholt.
Trotz zum Teil groß angelegter Öffentlichkeitsarbeit, wie etwa dem »Safer Internet Day«
oder Initiativen wie »Deutschland sicher im Netz« dringen diese Vorsichtsmaßnahmen nur langsam in das breite Bewusstsein der Öffentlichkeit ein. Wir geben im Folgenden nur kurz die wesentlichen Schutzmöglichkeiten wieder.
7.2.1. Schutz vor bösartiger Software
Bösartige Software wird für immer ein Problem bleiben, egal ob im privaten oder be-trieblichen Umfeld. Man muss also die möglichen »Installationswege« kennen, um sich effektiv davor schützen zu können.
Der klassische Weg, den bösartige Software nimmt, um auf einen Rechner zu gelangen, führte in der Vergangenheit meist über technische Schwachstellen im Betriebssystem des Rechners. Durch technische Verbesserungen sind Betriebssysteme heute nicht mehr so einfach angreifbar wie noch vor wenigen Jahren. Deswegen versucht Schadsoftware heute verstärkt auch technische Schwachstellen in Anwendungsprogrammen wie Webbrowsern, Textverarbeitungsprogrammen und Videoplayern auszunutzen. Die übliche Empfehlung lautet dabei immer, die Software auf dem eigenen Rechner immer in einem aktuellen Zustand zu halten, um möglichst wenige Schwachstellen anzubieten. Dazu gibt es bei den meisten Programmen eine Aktualisierungsfunktion, die auch automatisch auf Sicherheits-updates prüft. Besonders hinzuweisen ist auch darauf, dass es nicht ausreicht, bloß den Arbeitsplatzrechner auf aktuellem Stand zu halten: Auch Smartphones, WLAN-Router und sämtliche mit dem Internet verbundenen Geräte stellen lohnenswerte Angriffsziele für Cyberkriminelle dar.
Ein im Umfang zunehmender Vebreitungsweg für Schadsoftware ist die freiwillige Installation durch den Benutzer des Rechners selbst. Bei der Menge an im Internet kostenlos zum Download angebotenen Software ist es schwierig zu unterscheiden, welche davon gutartig ist und welche möglicherweise eine Schadfunktion enthält. Ein großer Anteil an Rechnern, die Teil desStorm-Botnetzes waren, wurden beispielsweise durch die Ausführung von Dateien infiziert, die an Spam-Nachrichten angehängt waren (Holz, Steiner, Dahl, Biersack & Freiling, 2008). Eine gute Hilfestellung bei der Unterscheidung zwischen guter und böser Software bieten die Produkte der Antiviren-Hersteller. Die zunehmende Vielfalt und Raffinesse von Schadsoftware hat jedoch dazu geführt, dass die
Antiviren-Produkte nur noch »die wichtigsten« Klassen von Schadsoftware erkennen. Vor allem gegen neue Varianten bieten Antiviren-Produkte nur bedingt Schutz. Eine Studie von Bächer, Kötter, Holz, Dornseif und Freiling (2006) zeigte, dass die Erkennungsraten von vier Antiviren-Produkten auf Schadsoftware, die jeweils innerhalb der letzten 24 Stunden in einem Honeynet gesammelt worden waren, zwischen 73% und 84% lagen – die normale Erkennungsrate sollte bei über 90% liegen.
Benutzer benötigen also auch eine gewisse Sensibilität, wenn es darum geht, Software aus dem Internet zu installieren. Um die damit verbundenen Probleme deutlich zu ma-chen, wird häufig die folgende Analogie benutzt: Software auf dem eigenen Rechner zu installieren ist wie jemanden den Schlüssel zur eigenen Wohnung zu überlassen. Softwa-re kann beliebige Einstellungen auf dem Rechner vornehmen und beliebige Vorgänge starten. Wenn man jemanden auf der Straße trifft, der einem einen kostenlosen Zugang zu verlockenden Angeboten verspricht und gleichzeitig behauptet, er müsse dafür nur kurz in Ihre Wohnung, dann würde man dieser Person auch nicht ohne weiteres den Haustürschlüssel überlassen.
Eine etwas ferner liegende Analogie vergleicht das Beherbergen von Schadsoftware auf dem eigenen Rechner mit der Tätigkeit von Sympathisanten der Baader-Meinhof-Bande in den 1970er Jahren, die den Terroristen leichtfertig die eigene Wohnung als Unterschlupf überließen (vgl. Aust, 2008).
7.2.2. Authentifikationsproblematik
Viele Probleme entstehen auch wegen der bereits wiederholt angesprochenen Problematik der Authentifikation im Cyberspace. So ist weiterhin vielen Benutzern unbekannt, dass die Absenderinformationen in einer E-Mail sehr leicht manipuliert werden können. Ein Blick auf die Absenderadresse reicht deshalb nicht aus, um die Vertrauenswürdigkeit einer E-Mail einzuschätzen.
Authentifikationsmethoden wie Passwörter sind zudem leicht angreifbar. Dies ist umso mehr ein Problem, als sich Benutzer immer mehr Passwörter merken müssen und deshalb dazu tendieren, Passwörter wiederzuverwenden. Stärkere Authentifikationsmethoden, die auf kryptographischen Zertifikaten oder auf den Geheimnissen innerhalb einer Chipkarte basieren, sind oftmals durch »man in the middle«-Angriffe angreifbar.
Aufgrund der Rahmenbedingungen wird es auch in Zukunft schwierig sein, im Cyber-space das gleiche Authentifikationsniveau zu erreichen wie in der realen Welt. In der realen Welt gibt es sehr viele verschiedene Kanäle, über die man oft unbewusst Au-thentifikationsinformationen austauscht (Stimme, Körpersprache, Mimik). Ein ähnlich multidimensionales Authentifikationspanorama ist im Cyberspace nur schwer abzubilden.
7.2.3. Selbstdatenschutz
Gerade mit der Diskussion über die so genannten »sozialen Netzwerke« ist das Problem des Datenschutzes verstärkt in den Blickpunkt der Öffentlichkeit gerückt. Das Zusammen-tragen von Daten und das Erkennen von Beziehungen zwischen einzelnen Informationen im Netz ist eine automatisierbare Aufgabe, die durch Rechner gelöst werden kann. Im Cyberspace ist es also deutlich einfacher, Persönlichkeitsprofile zu erstellen, als in der realen Welt. Das Buch »Database Nation« von S. Garfinkel (2001) führt die realen Möglichkeiten deutlich vor Augen.
In der Praxis sollte man sich also nicht scheuen, nur so wenige Daten wie möglich über sich preiszugeben. In vielen Systemen können pseudonyme Benutzernamen verwendet werden. Da heute oft die E-Mail-Adresse als Benutzerkennung vorgegeben ist, kann es sinnvoll sein, »Wegwerf-E-Mail-Adressen« zu verwenden, die man zu gegebener Zeit wieder löscht. Wenn Postadressen angegeben werden müssen, dann kann es sich bei bestimmten Anbietern lohnen, einen kleinen Buchstabendreher in den Straßennamen oder ein zusätzliches »c/o«-Feld einzubauen. So kann man bei realer Post feststellen, über welche Kanäle der Absender an die eigene Adresse kam.
Es ist durchaus auch sinnvoll, in regelmäßigen Abständen die eigene Online-Präsenz selbst zu kontrollieren, also sich selbst in die Situation eines Detektivs zu begeben, der im Internet möglichst viel über die eigene Person herausfinden möchte.
7.2.4. Schutz in Unternehmen
In Unternehmen hat man in der Regel jemanden zur Hand, der für den technischen Schutz der dort verwendeten informationstechnischen Systeme sorgt. Im Unternehmensumfeld ist dieser Schutz heute zahlreichen Regulierungen unterworfen, so dass es sinnvoll ist, sich an etablierte Rahmenwerke zu halten, wie etwa an denGrundschutzdes Bundesamtes für Sicherheit in der Informationstechnik.
In der Vergangenheit hat sich jedoch gezeigt, dass ähnlich wie im privaten Bereich auch im Unternehmen eine gewisse Sensibilität für die Andersartigkeit der Gefahren im Cy-berspace notwendig ist. Dies wird neudeutsch als »Awareness« bezeichnet. Maßnahmen, die die Awareness erhöhen, sollten bei den Investitionsentscheidungen genauso stark gewichtet sein wie technische Sicherheitsmaßnahmen, wenn nicht sogar stärker. Nur durch eine entsprechende Sensibilität, auch und insbesondere im Management, können die zunehmenden gezielten Angriffe wirksam eingedämmt werden.
7.2.5. CERTs
Viele Institutionen betreiben Abteilungen, deren Aufgabe es ist, Angriffe auf die informa-tionstechnische Systeme zu untersuchen. Diese werden nach dem ersten solchen Team an
der Carnegie Mellon University in den USA alsComputer Emergency Response Teams (CERTs) bezeichnet. Die Fachleute eines CERT sind für die jeweilige Institution zentrale Ansprechpartner für die operative Sicherheit und werden bei allen relevanten Fragestel-lungen in den Entscheidungsprozess mit einbezogen. Teilweise obliegen den CERTs auch die Verteilung von Informationen über neue Sicherheitslücken und die Konzeption und Durchführung von Maßnahmen zur Verbesserung der Sensibilität für IT-Sicherheitsfragen im Unternehmen.
CERTs haben sich in der Vergangenheit als effektives und pragmatisches Mittel zur Eindämmung von IT-Sicherheitsgefahren erwiesen. Sie bilden über Organisations- und Ländergrenzen hinweg eine Vernetzungsmöglichkeit, um auf Gefahren kontrolliert und koordiniert zu reagieren. In Deutschland wird der Aufbau von CERTs durch den nationa-len CERT-Verbund (DFN-CERT Services GmbH, o. J.) gefördert.
7.2.6. Die Rolle der Internet-Provider
Die Internet-Provider spielen vor allem im Bereich der privaten Nutzer eine Schlüsselrolle beim Umgang mit Cyberkriminalität. So können etwa IP-Adressen nur mit Hilfe der Pro-vider auf den eigentlichen Anschlussinhaber aufgelöst werden. Auch haben die ProPro-vider in ihren Netzen die Möglichkeit, bösartige Aktivitäten zu erkennen und zu unterbinden.
Im Universitätsnetz der RWTH Aachen werden beispielsweise Computer, die sich so verhalten, als seien sie durch Schadsoftware infiziert, in ein Quarantänenetz verlegt und müssen sich erst wieder physisch »gesund melden«, um am normalen Netzwerkverkehr teilnehmen zu können (Göbel, Holz & Willems, 2007; Hektor & Göbel, 2008). Ähnlich verfahren bereits einige kommerzielle Internet-Provider. Die Erkennung von bösartigem Verhalten führt dann zu einem Hinweis auf das Anti-Botnet-Beratungszentrum des Ver-bandes der deutschen Internetwirtschaft (eco – Verband der deutschen Internetwirtschaft e.V., o. J.), das Software bereitstellt, um den Rechner zu reinigen.
7.2.7. Kritische Infrastrukturen
Gerade im Unternehmensumfeld oder im Bereich der kritischen Infrastrukturen muss aber immer wieder genau hinterfragt werden, welche Systeme mit dem Internet verbunden sein müssen und welche nicht.
Im Bereich der Automatisierung etwa werden oft Anlagen betrieben, die eine Lebenszeit von 10 bis 20 Jahren haben. Die IT-Infrastruktur wird dabei anfangs installiert und an-schließend kaum verändert. Oft werden auch Sicherheitsupdates nicht mehr eingespielt, um keine Funktionsstörungen mit veralteten Peripheriegeräten oder Ähnlichem zu ris-kieren. Derartige Systeme müssen besonders geschützt werden. Insbesondere müssen diejenigen Wege streng reglementiert werden, über die Software auf diese Systeme gelan-gen könnte. Ob derartige Systeme dann mit dem Internet verbunden sein sollten, ist mehr als fraglich.