Titel - Ausgabe 01|02

"Verteidigern fehlt die kriminelle Energie“

Die Bedrohung durch Angriffe aus dem Netz wächst stetig, das bestätigt auch die deutsche Cyber-Sicherheitsbehörde BSI alljährlich. Verteidigungsstrategien scheinen trotz erheblichen finanziellen Aufwands nicht recht zu greifen. Woran liegt das? Und was bedeuten KI und Quantencomputer für die Sicherheitslage in der Zukunft? Prof. Dr. Günther Pernul, Inhaber des Lehrstuhls für Wirtschaftsinformatik 1 – Informationssysteme an der Universität Regensburg, weiß es.

Worin liegt für Sie aktuell das größte Problem in der Informationssicherheit?

Pernul: Tätergruppen agieren heute äußerst professionell und zielgerichtet. Im Bereich der Cybersicherheit existiert eine leistungsfähige und umfangreiche Untergrundökonomie, sodass es auch Informatik-Laien gelingt, aus dem Bausteinkasten der dort angebotenen Werkzeuge und Dienstleistungen einen Cyber-Angriff on demand auszuführen. Wenn Angreifer dies wollen, dann erhalten Sie sowohl die Infos über existente Sicherheitslücken als auch die notwendigen Werkzeuge, um einen erfolgreichen Angriff, etwa wie derzeit häufig der Fall – mit Ransomware – auszuführen. Leider befürchte ich, dass sich dieser Trend fortsetzen und wahrscheinlich auch noch weiter verstärken wird. Was noch auf uns zukommen wird, ist schwer vorhersehbar, insbesondere im Bereich der Lieferketten und kritischen Infrastrukturen. Da fehlt es den Verteidigern an krimineller Vorstellungskraft und Energie.

Woraus leiten Sie dies ab?

Ich gewinne zunehmend den Eindruck, dass Verteidiger den Wettbewerb gegen die Angreifer derzeit verlieren. Aus Studien wissen wir, dass zwar das Investitionsvolumen in Abwehrsysteme und -maßnahmen kontinuierlich steigt, doch die Aufklärungsquote bleibt bei rapide wachsenden Fallzahlen gleich. Die Schere öffnet sich also immer weiter. Hinzu kommt noch die hohe Anzahl an Sicherheitsvorfällen, die nicht bekannt gemacht werden und daher nicht in den Statistiken aufscheinen. Unserer Ansicht nach wäre eine Möglichkeit, dagegen zu halten, eine weitaus stärkere Kooperation der Betroffenen untereinander, insbesondere was den Austausch von Informationen angeht.

Welche Rolle spielt das Thema Künstliche Intelligenz (KI) für die Informationssicherheit?

Eine große, aber auch eine zweischneidige, wie in vielen anderen Bereichen der Informatik auch. So kann die KI in Zukunft für die Angriffserkennung und -analyse von großem Vorteil sein, da es dabei ja um das klassische Problem der Mustererkennung geht. In diesem Bereich erwarte ich durch KI einen großen Erkenntnisfortschritt.
Allerdings bietet KI selbstverständlich auch neue Angriffsflächen. So könnte die KI selbst angegriffen werden, indem etwa Trainingsdaten manipuliert werden. Auch wäre es möglich, in ein KI-basiertes Intrusion Detection System bestimmte Daten einzuspielen und dann die Reaktion darauf zu beobachten, um einen Angriff genauer vorzubereiten. Außerdem könnten Angreifer KI in Zukunft nutzen, um gezielter Opfer ausfindig zu machen.

Ein weiteres Zukunftsthema, das auch für die Sicherheit relevant werden könnte, sind die Quantencomputer. Was erwarten Sie in diesem Bereich?

Tatsächlich muss der Quantencomputer erst einmal flächendeckend verfügbar sein, und das ist nach der gängigen heutigen Erwartung möglicherweise erst Mitte der 30er Jahre der Fall. Als relativ sicher gilt allerdings, dass er den klassischen Computer dann auf mehrere Jahrzehnte hinaus ergänzen und später vielleicht ersetzen wird. Für die Sicherheit ist der Quantencomputer als Innovationsschritt deshalb so zentral, weil er mittels seiner Rechenleistung die klassische asymmetrische Kryptographie, wie wir sie heute kennen, obsolet machen wird. Man weiß, dass man mit Quantentechnologie die Primfaktorzerlegung so schnell durchführen kann, dass eine heute übliche RSA-Verschlüsselung binnen Sekundenbruchteilen geknackt ist.

Allerdings wird es künftig möglicherweise auch neue Verschlüsselungsverfahren geben...

Ja, davon kann man ausgehen, dass Forschungen im Bereich der Post-Quanten-Kryptographie Verfahren hervorbringen, die auch mit Hilfe des Quantencomputers nicht zu brechen sind. Aber vielleicht ist es beim Quantencomputer dasselbe wie bei der KI: Es wird ein Wettlauf zwischen Angreifern und Verteidigern bleiben. Und wie ich ja eingangs schon gesagt habe, ist es mein Eindruck, dass sich momentan die Angreifer gerade einen Vorsprung erarbeiten.

Woran liegt das Ihrer Meinung nach?

Es sind meiner Einschätzung nach nicht unbedingt mangelnde finanzielle Mittel. Sicherlich sind fehlende personelle Ressourcen mitverantwortlich, da zu wenig gut ausgebildete Fachexperten im Bereich der Cybersicherheit am Markt verfügbar sind. Den Verteidigern fehlt möglicherweise auch die kriminelle Energie, um Angriffsszenarien zu antizipieren und sich rechtzeitig in Stellung zu bringen. Das Problem liegt aber auch in der allgemeinen Nachlässigkeit. IT-Sicherheit macht nicht unbedingt Spaß und lässt sich nur schwer dem Unternehmenserfolg zurechnen, muss aber trotzdem Chefsache sein – und das auch noch kontinuierlich.
- von Alexandra Buba