English China

Cyber-Sicherheit im Forschungsumfeld F&E im Fadenkreuz – Forschungsdaten besser schützen

Ein Gastbeitrag von Manfred Godek*

Anbieter zum Thema

Forschungseinrichtungen und Labore sind immer häufiger das Ziel von Cyber-Attacken. Es werden Daten gestohlen, vernichtet oder Lösegelder erpresst. Die Täter nutzen Schwachstellen in den IT-Infrastrukturen. Doch es gibt Mittel und Wege, die Risiken zu begrenzen.

Auch Forschungseinrichtungen können Ziel von Cyber-Angriffen werden und wertvolle Daten verlieren (Symbolbild).
Auch Forschungseinrichtungen können Ziel von Cyber-Angriffen werden und wertvolle Daten verlieren (Symbolbild).
(Bild: Laura Сrazy - stock.adobe.com)

Das Bild vom „Erfinder im stillen Kämmerlein“ ist Geschichte. Forschung erfolgt heute in Netzwerken. Und jeder weiß, dass mit dem Internet verbundene Systeme Gefahr laufen, gehackt zu werden. Die Fachleute in den Laboren sind allerdings in der Regel keine Spezialisten für Cyber-Sicherheit. IT-Verantwortliche in den Unternehmen können mit Begriffen wie Netz-Segmentierung, VPN oder Auth-Cryptor eher etwas anfangen. Von Angriffen auf die Cloud werden aber auch sie oft kalt erwischt.

Viren, Würmer und Trojanische Pferde

Ein Computervirus greift das System des Rechners an, um es zu beschädigen, zu zerstören oder manipulierbar zu machen. Er wird „viral“, das heißt, er verbreitet sich auf weitere Computer. Der Computerwurm ist sozusagen das Transportmittel. Das Trojanische Pferd ist ein Programm, das sich als nützliche Anwendung tarnt, im Hintergrund allerdings ohne Wissen des Anwenders eine andere, unerwünschte, Aktivität entfaltet.

Bei einer Cyber-Attacke auf die Europäische Arzneimittelbehörde EMA in Amsterdam im Sommer 2021 wurden Daten der Pharmaunternehmen Biontech und Pfizer erbeutet. [1] Die Dokumente standen im Zusammenhang mit den Anträgen auf Zulassung der Corona-Impfstoffe. Wenig später traf es die Fraunhofer-Gesellschaft. Kriminelle boten 320 Gigabyte vom Institut gestohlene Daten auf einer Seite namens „Industrial Spy“ im Darknet zum Preis von 2,2 Millionen US-Dollar an, zahlbar in Bitcoin. [2] Die Täter warben dafür regelrecht über den Messenger-Dienst Telegram. „Sie können private und kompromittierende Daten Ihrer Konkurrenten kaufen oder herunterladen. Wir veröffentlichen Pläne, Zeichnungen, Technologien, politische und militärische Geheimnisse“, hieß es dort. Ebenfalls im Juni 2022 waren auf Industrial Spy auch Daten des Pharmakonzerns Pfizer für 500.000 US-Dollar erhältlich.

So bizarr und spektakulär die Fälle auch erscheinen mögen: Sie spiegeln die ungeschminkte Realität wider. Und das nicht erst, seitdem Russland immer häufiger als Aggressor im Bereich Industriespionage in Erscheinung tritt. Bereits im Jahr 2014 wurden Computer des Deutschen Zentrums für Luft- und Raumfahrt (DLR) mit Spionagesoftware infiltriert. [3]

Laut dem Digitalverband Bitkom entstand im Jahr 2021 durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage ein Schaden in Höhe von 223 Milliarden Euro. Nach den Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus der Bearbeitung sicherheitskritischer Vorfälle gehören Einrichtungen im Bereich Forschung & Entwicklung zu den besonders gefährdeten Bereichen.

Externe Kommunikation bietet Angriffsfläche

Firmenintern können Sicherheitsregime eingerichtet werden, damit nichts „nach außen“ dringt. Oft erfolgt die Kommunikation über die Grenzen der eigenen Organisation hinaus, etwa mit Universitäten. „Im Hochschul- und Forschungsbereich haben wir eine offene Kultur und gehen sehr kooperativ miteinander um. Dadurch bieten wir eine größere Angriffsfläche als sehr restriktive und geschlossene Umgebungen“, sagt Klaus-Peter Kossakowski im Interview mit dem Deutschen Forschungsnetz DFN. [4] Kossakowski ist Professor für IT-Sicherheit an der Hochschule für angewandte Wissenschaften Hamburg und Geschäftsführer der Beratungsgesellschaft DFN-CERT Services. Einrichtungen, die zum Beispiel in Kooperationen mit Industrie- und Wirtschaftsunternehmen an Forschungsprojekten und technologischen Neuentwicklungen arbeiteten, seien begehrte Angriffsziele. „Das ist erwiesene Strategie von bekannten Staaten, sich durch einen privilegierten schnellen Zugriff auf Forschungsergebnisse einen erheblichen Entwicklungsaufwand sparen“, ergänzt der Experte in dem DFN-Gespräch. Auch durch die Arbeit im Homeoffice entstehen in den Firmennetzen zusätzliche Schnittstellen nach außen, die von Kriminellen ins Ziel genommen werden können.

Waffen der Cyber-Kriminalität

Botnet: Der Angreifer übernimmt die Kontrolle über das Netzwerk. Er kann Prozesse steuern und weitere Kommunikationspartner des Netzwerks infiltrieren.

Ransomware: Mit ihr werden das System oder Teile davon gesperrt oder verschlüsselt, sodass diese nur durch Zahlung eines Lösegeldes wieder genutzt werden können.

Spyware: Dies ist ein Programm zur Generierung von sensiblen Daten des Nutzers.

Adware: Sie ist „nur“ lästig, indem sie den Browser mit unerwünschter Werbung überhäuft und dadurch den Arbeitsablauf behindert.

Social-Engineering: Das gab es schon weit vor dem Computer-Zeitalter: Menschen werden manipuliert, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware zu installieren. Oder sie werden aus eigenem Antrieb zu Innentätern; aus Rache oder Gewinnsucht.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

„Shit happens“? Kein Cyber-Angriff erfolgt ohne Grund!

Eine grundlegende Rolle in der Informationstechnologie spielt Logik. IT-Sicherheit ist eine Frage systematischer Planung und Analyse. Die ISO/IEC 27001 ist die internationale Norm für Best-Practice-Managementsysteme in der Informationssicherheit. Sie kann auf der Grundlage der individuellen Risiken eines Unternehmens angewendet werden. Von der Theorie zur Praxis:

Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen ist eine möglichst präzise Kenntnis der eigenen Verletzbarkeit. Sie lässt sich anhand klarer Kriterien ermitteln. Die „Cyber-Sicherheits-Exposition“ des BSI liefert dafür eine gute Vorlage. [5] Zunächst wird der Wert der zu schützenden Daten bestimmt. Wie hoch wäre beispielsweise der Schaden, wenn die Ergebnisse langjähriger Forschung unwiederbringlich verloren wären oder in falsche Hände gerieten? Sodann ist zu untersuchen, wie attraktiv diese Daten für bestimmte Angreifer sind und mit wem oder womit man es womöglich zu tun bekommt – in Bezug auf kriminelle Energie, IT-Expertise und Raffinesse. Schließlich müssen noch Angriffsszenarien modelliert werden. Ist davon auszugehen, bei großflächigen Aktionen eher zufällig in Mitleidenschaft gezogen zu werden? Oder sind aufgrund der eigenen Exponiertheit gezielte Attacken gegen die eigene Organisation zu befürchten? Die Antworten haben erheblichen Einfluss auf die Qualität der zu treffenden Maßnahmen.

So banal es klingt: Eine sichere Antiviren-Software ist sozusagen „die halbe Miete“. Schon bei deren Anschaffung zahlt sich die Basisarbeit einer Sicherheits-Exposition aus. Es gibt auf dem Markt eine Vielzahl an leistungsfähigen Produkten. Allerdings identifiziert und isoliert nicht jedes Programm jegliche Art von Schadsoftware. Deshalb empfiehlt sich die Heranziehung von Experten, zumal professionelle Hacker oder Geheimdienste hochkarätige Werkzeuge verwenden.

Top 10 Cyber-Bedrohungen
  • Einschleusen von Schadsoftware über Wechseldatenträger und mobile Systeme
  • Infektion mit Schadsoftware über Internet und Intranet (starke Zunahme seit 2019)
  • Menschliches Fehlverhalten und Sabotage
  • Kompromittierung von Extranet und Cloud-Komponenten (Zunahme seit 2019)
  • Social Engineering und Phishing
  • (D)DOS-Angriffe
  • Internet-verbundene Steuerungskomponenten (Zunahme seit 2019)
  • Einbruch über Fernwartungszugänge (Zunahme seit 2019)
  • technisches Fehlverhalten und höhere Gewalt
  • Soft- und Hardwareschwachstellen in der Lieferkette (starke Zunahme seit 2019)

Quelle: BSI

Das A und O sind Ende-zu-Ende-Verbindungen

Wenn sensible Daten über das Internet ausgetauscht werden, muss gewährleistet sein, dass sich die Teilnehmer („Clients“) gegenseitig authentifizieren und miteinander verschlüsselt kommunizieren – „Ende-zu-Ende“, wie es in der Fachsprache heißt. Eine etablierte Methode ist die VPN-Technologie (Virtuelles Privates Netzwerk), bei dem jeder Teilnehmer eine verschlüsselte Verbindung zu jedem anderen Teilnehmer bekommt. In Netzwerken größerer Organisationen sind die Einrichtung und Verwaltung von Ende-zu-Ende-Verbindungen mittels VPN aufwendig. Bei einem Netzwerk von beispielsweise 20 Teilnehmern wären dies 190 VPN-Verbindungen, bei 100 Teilnehmern bereits 4.950. Um diesen Aufwand zu sparen, kommunizieren die Clients in der Regel über zentrale VPN-Dienste, die von verschiedenen Providern angeboten werden. Ein Knackpunkt ist, dass die übermittelten Daten nur auf den Strecken zwischen den Firmennetzwerken und den VPN-Servern verschlüsselt transportiert werden, nicht aber auf den Servern selbst. Im Frühjahr 2021 wurden in einem Hackerforum Datensätze von rund 21 Millionen Nutzern dreier VPN-Dienste angeboten. [6] Zudem können so genannte Innentäter oder in die Firmennetzwerke eingedrungene Hacker weiterhin auf die Kommunikation zugreifen.

Eine durchgängige Ende-zu-Ende-Verschlüsselung ermöglicht die Auth-Cryptor-Technologie. Dazu werden die Teilnehmer einmalig in einem im Netzwerk installierten Vermittler registriert. Sie können dann jederzeit eine authentifizierte und sichere Verbindung zueinander aufbauen, wobei sich die Zugriffe auf einzelne Anwendungen beschränken lassen. Der Vermittler dient ausschließlich als Verwaltungsstelle; die Teilnehmer kommunizieren unabhängig von ihm. Damit gibt es kein zentrales Angriffsziel für Hacker. Weil bei Auth-Cryptor der Aufwand für die Einrichtung neuer Clients konstant bleibt und sich nicht wie beim VPN multipliziert, ist diese Lösung vor allem für die sichere Kommunikation größerer Organisationen in komplexeren Netzwerkstrukturen geeignet.

Gestaffelte Verteidigungslinien

Eine wichtige Präventivmaßnahme gegen Cyber-Angriffe ist die Aufteilung der Netze in verschiedene Segmente, die nicht oder nur noch bedingt miteinander vernetzt sind. Denn ein Angriff auf ein einzelnes System dient womöglich nur als Zwischenstation für einen darüber hinausgehenden Angriff auf ein anderes Ziel im selben Netzwerk. Experten empfehlen eine gestaffelte Verteidigung von der Schnittstelle zum Internet hin zum Client am Arbeitsplatz – sozusagen als letzte Verteidigungslinie. Das BSI empfiehlt, über die verschiedenen Systeme verteilt mindestens drei unterschiedliche Lösungen einzusetzen. Auch sollten diese unterschiedlichen Lösungen auf verschiedene Virensignatur-Datenbanken zurückgreifen. So können „Infektionsketten“ gar nicht erst entstehen.

Schließlich müssen auch periphere Übergänge ins Auge gefasst werden, mit denen Schutzmaßnahmen umgangen werden können. Dazu gehören individuelle DSL-Zugänge, UMTS-Datenverbindungen zu mobilen Geräten oder Schnittstellen, die Fernzugriffe ermöglichen. (clu)

Quellen:

[1] Artikel auf www.datensicherheit.de: EMA: Europäische Arzneimittelagentur gehackt, geschrieben von cp am 10.Dezember 2020

[2] Artikel auf www.watson.ch: Fraunhofer-Institut gehackt – Kriminelle bieten Daten für 2 Millionen im Darknet an, Daniel Schurter, 4. Mai 2022

[3] Artikel auf www.dw.com: Cyber-Angriff auf Deutsches Luft- und Raumfahrtzentrum, uh/hf (dpa,rtr), 13. April 2014

[4] Interview mit Prof. Dr. Klaus-Peter Kossakowski auf www.dfn.de: Unentschieden – das Wettrennen um IT-Sicherheit, Verein zur Förderung eines Deutschen Forschungsnetzes, Maimona Id, 28. Juni 2022

[5] Bundesamt für Sicherheit und Informationstechnik: BSI-Standard 200-2; IT-Grundschutz-Methodik

[6] Angriff auf VPN-Dienste: Riesige Mengen an Nutzerdaten erbeutet , Thomas Glenk, 2. März 2021

* M. Godek, Journalist, 40789 Monheim am Rhein

(ID:49025555)