Im IoT wird virtuelle zur physischen Gefahr

Nahezu überall lauern heute Cyberbedrohungen. Die Kriminellen sind wohlorganisiert und verfügen über ausgeklügelte Technologien für die verschiedensten Typen von Angriffen. Immer wieder zeigen Vorfälle, dass Unternehmen noch immer leichte Opfer sind. Acronis-Gründer Serguei Beloussov erklärt im Interview, was lückenhafte Abwehrmechanismen damit zu tun haben und welche Rolle Blockchain und Quanten-Computer künftig spielen werden.

Beloussov ist promovierter Computerwissenschaftler und hält über 200 Patente. Begonnen hat seine Karriere 1992 bei der russischen Computerfirma Sunrise, die er zum größten PC-Händler und Hersteller von Unterhaltungselektronik machte. Zur Jahrtausendwende wagte er in den USA mit Gründung der Entwicklerfirma SWsoft den Schritt in die Selbstständigkeit. Acronis war zunächst eine Business-Einheit von SWsoft, bevor sie 2003 eigenständig wurde. Anfangs beschränkte sich Acronis auf die Entwicklung und Vermarktung der Partitionierungslösung True Image an Endkunden. Seit Mitte der 2000er-Jahre adressiert Acronis mit System- und Sicherheits­anwendungen auch Unternehmen. Die Firma mit Hauptsitz in Schaffhausen (Schweiz) und Singapur beschäftigt an weltweit 18 Standorten rund 1500 Mitarbeiter.

com! professional: Waren Sie selbst jemals Opfer eines Cyber­angriffs?

Serguei Beloussov: Ich denke, jeder ist schon von einem Cybervorfall betroffen gewesen. Genau wie jeder auch Krebszellen in sich trägt. Die Krebszellen werden aber typischerweise von den Abwehrkräften des menschlichen Immun­systems zerstört. Ich bin eine exponierte Persönlichkeit und damit natürlich ein attraktives Ziel für Cyberangriffe. Über Acronis kann ich berichten, dass wir permanent angegriffen werden. Bisher konnten wir alle Attacken abwehren, wobei wir teils allerdings viel Aufwand betreiben mussten. Hier kann man eher von einem indirekten Schaden sprechen, denn natürlich kostet auch die Cyber­abwehr eine Menge Geld und Ressourcen.

com! professional: Mussten Sie schon Cyber­angriffe auf Ihre Person abwehren?

Beloussov: Nein, Angriffe auf mich persönlich noch nicht. Aber es gab einen Vorfall im Zusammenhang mit meiner Familie. Meine Tochter besuchte vor Jahren die internationale Schule in Jakarta. Eines Tages gab es einen Angriff auf die Computer der Schule, bei dem viele persönliche Daten entwendet wurden. Anschließend konnten die Angreifer sich als Lehrer ausgeben, da sie Kenntnis hatten von den schulischen Abläufen, den Klassenzimmern, den Bring- und Abholzeiten der Schüler sowie weiteren persönlichen Details. Indem sie meiner früheren Frau vorgaukelten, unsere Tochter habe einen Unfall gehabt, konnten sie zunächst einen kleinen Geldbetrag erpressen. Als Forderungen nach höheren Summen gestellt wurden, wurde meine Ex-Frau misstrauisch und schaltete die Polizei ein. So konnte schlimmerer Schaden abgewendet werden. Denn natürlich hatte unsere Tochter keinen Unfall gehabt.

Diese Methode ist eine der wirksamsten: Zuerst sammeln die Angreifer eine große Menge an Informationen über ein Individuum, um das Opfer dann mit möglichst vielen Details überzeugen zu können, dass die Attacke ihm persönlich gilt.

Beloussov: Nicht unbedingt. Meiner Meinung nach ist die organisierte Cyberkriminalität die größte Bedrohung überhaupt. Aufgrund ihrer Industrialisierung können diese Organisationen integrierte Angriffe mit Trojanern, Viren, Ransomware, Phishing, Social Engineering und so weiter starten. Diese Attacken werden orchestriert ausgeführt und laufen nach einer Standardprozedur ab. Und mittlerweile wissen eine ganze Menge Leute, wie solche Angriffe am wirksamsten lanciert werden.

Ich verwende gerne den Vergleich mit einem Bankraub: Früher stürmte ein Einzelner in die Bankfiliale, zückte eine Waffe und zwang das Schalterpersonal zur Herausgabe des Bargelds. Über die Jahre entwickelten auch die Bankräuber neue Techniken, koordinierten und organisierten sich. Zuerst orientierten sie sich über den Tatort, sorgten für einen Defekt bei den Überwachungskameras, warben Bankangestellte als Komplizen an und wählten einen Zeitpunkt, an dem wenig Publikum in der Filiale und die Polizei anderweitig beschäftigt war. Im Vergleich mit dem Bankraub, bei dem es eine ganze Reihe Sicherheitsmaßnahmen gibt - Zeitschaltung, Überwachungskameras und Polizei zum Beispiel -, sind die Unternehmen relativ schlecht auf eine Cyberattacke vorbereitet. Oft sind die an­gegriffenen Firmen auf sich allein gestellt und  müssen sich selbst gegen das organisierte Verbrechen schützen.

Beloussov: Relativ neu sind Angriffe im Millisekunden­bereich. Ihnen bereiten die neuen Netzwerktechnologien wie 5G und Glasfaser den Weg. Die Herausforderung hier ist, dass kaum eine Security-Software in der Lage ist, einen Angriff überhaupt zu registrieren. Oder sie benötigen einen Patch, der aber nicht innerhalb von Millisekunden ein­gespielt werden kann. Hier müssen die Hersteller und auch die Technologielieferanten neue Methoden entwickeln, um so kurzzeitige Attacken zu verhindern.

Eine dritte große Bedrohung sehe ich in der Daten­manipulation. Denn Geschäftssysteme basieren heute vornehmlich auf Entscheidungsregeln, die von korrekten Daten ausgehen. Werden nun von einem Angreifer die Daten manipuliert, arbeiten zwar die Systeme noch korrekt, die Ergebnisse stimmen aber nicht mehr. Und kein Benutzer rechnet damit, dass die korrupten Daten der Grund für die falschen Resultate sein könnten. Die große Herausforderung besteht darin, dass Daten sehr einfach manipulierbar sind. Die Online-Enzyklopädie Wikipedia ist das plakativste Beispiel: Die große Mehrheit der Benutzer glaubt an den Wahrheits­gehalt der Informationen dort. Aber sowohl Sie als auch ich können die vermeintlichen Fakten problemlos ändern.

com! professional: Wie kann Sicherheits-Software ein Schutz gegen diese Bedrohungen sein?

Beloussov: Ausschließlich Acronis kann einen wirklichen Schutz vor Angriffen bieten! [lacht] Ich scherze natürlich. Obwohl die Lage durchaus ernst ist. Denn wir leben in einer Welt, in der sich die große Mehrheit der Konsumenten und der KMUs nicht ausreichend gegen Cyberbedrohungen schützt. Die Installation einer guten Security-Software wäre zunächst einmal sinnvoll.

Außerdem empfehle ich einen integrierten Ansatz - insbesondere im geschäftlichen Umfeld. Es muss eine Lösung eingesetzt werden, die Angriffe abwehren kann. Dabei ist es mit der Installation nicht getan. Das Definieren und Durchsetzen von Sicherheitsrichtlinien, das regelmäßige Einspielen von Updates sowie Tests der Abwehrmechanismen gehören genauso dazu. Auch das Zurücksetzen der (nicht infizierten) Systeme sollte geübt werden, um im Schadensfall vorbereitet zu sein. Ich halte es für ausgeschlossen, dass nicht jedermann und auch jedes Unternehmen innerhalb der nächsten zehn Jahre einmal das Opfer einer Cyberattacke wird.

Nicht zuletzt empfehle ich Methoden der Forensik: Unternehmen müssen im Fall einer Attacke in der Lage sein, die Ursache oder den Angriffsvektor zu bestimmen. Denn nur wer weiß, wie er angegriffen wurde, kann sich in Zukunft schützen und etwaige Sicherheitslücken schließen. Dieser Prozess wird heute noch größtenteils vernachlässigt.

Beloussov: Der jüngste Durchbruch beim Quanten-Computing ist ein echter Meilenstein. Google konnte mit dem eigenen Quanten-Rechner eine Aufgabe innerhalb von nur 200 Sekunden lösen, für die ein herkömm­licher Supercomputer mehr als 10.000 Jahre benötigt hätte. Das ist ein bemerkenswertes Ergebnis, dem höchste Anerkennung gebührt. Damit sind wir in der Evolution der Technologie aber gerade einmal am Anfang angelangt. Nun müssen Quanten-Computer entwickelt werden, die in der Praxis eingesetzt werden können.

Für die Cybersecurity ergibt sich aus der Quanten-Überlegenheit eine sehr weitreichende Konsequenz: Alle heute gängigen Verschlüsselungsverfahren basieren auf vermeintlichen Zufallszahlen. Geht es nach Experten, sind diese Zufallszahlen aber nicht wirklich zufällig, sondern unterliegen Regeln. Auch ein hundertstelliger Schlüssel wird so zu einem fünfzigstelligen. Quanten-Computer können beim Entschlüsseln helfen, aber genauso beim Generieren wirklich zufälliger Schlüssel. Aus meiner Perspektive ist die Quanten-Überlegenheit eine positive Entwicklung für die Cybersecurity.

Beloussov: Wir setzen auf die Blockchain-Technologie, um ein ganz bestimmtes Problem zu lösen: das Speichern von digitaler Information in einem unveränderbaren Format. Für diese Aufgabe ist Blockchain die optimale Lösung.

Allerdings hat die Blockchain selbst noch viel mehr Potenzial. Die zugrunde liegende Technologie lässt sich vergleichen mit dem Internet-Übertragungsprotokoll TCP/IP. Es ist heute die Grundlage für das Internet und die Kommunika­tion, allerdings war es niemals ein populäres Produkt, über das alle Zeitungen berichteten. TCP/IP ist selbstverständlich, ohne dass es jemals einen Hype darum ge­geben hätte. Das ist bei Blockchain anders. Der Hype wird sich aber legen, wenn die richtigen Anwendungen für die Technologie gefunden sind. Was das Internet für die Daten ist, ist Blockchain für die Werte. Ein Eintrag in einer Blockchain hat einen Wert, da er nicht verändert werden kann.

com! professional: Potenzieren sich die Bedrohungen, wenn Maschinen noch stärker vernetzt werden? Stichwort Interet der Dinge.

Beloussov: Ja, die Wahrscheinlichkeit ist hoch. Heute sprechen wir von Systemen, Applikationen und Daten. Das ändert sich mit dem Internet of Things nicht grundlegend. Dort gibt es nur noch mehr Systeme, Applikationen und Daten. Und natürlich noch mehr Verbindungen zwischen den Systemen, Applikationen und Daten. Daraus ergeben sich ganz automatisch verschiedenste und insbesondere zusätzliche Risiken.

Ein besonders kritischer Aspekt des Internet of Things ist die Tatsache, dass es sich bei den „Things“ oftmals nicht um reine Computer handelt. Ein Cybervorfall bedeutet dann nicht, dass der Anwender keine Nachrichten mehr ver­senden kann, sondern, dass eine Maschine nicht so funktioniert, wie sie es soll: Der Aufzug fährt in das falsche Stockwerk, die Klimaanlage heizt im Sommer den Raum auf oder das autonome Auto fährt an den falschen Zielort. Damit wird die heute noch virtuelle Bedrohung zu einer echten physischen Gefahr.

Beloussov: Die Schweiz hat aus meiner Perspektive sowohl gute als auch nicht so gute Seiten. Positiv sind zum Beispiel die niedrige Kriminalitätsrate, die hervorragende Organisation und die allerorts vorherrschende Disziplin. Weiter verfügt die Schweiz über ein ausgereiftes Rechtssystem, mit dem die Einwohner angehalten werden, sich an die Gesetze zu halten. Wenn auch nicht direkt betroffen, werden sich Schweizer Unternehmen etwa der neuen europäischen Datenschutz-Grundverordnung unterstellen. Ein zusätzlicher Aspekt ist die gute finanzielle Situation der meisten Betriebe in der Schweiz. Sie können es sich leisten, Geld in Sicherheitslösungen zu investieren - und tun es auch. In keinem anderen Land auf der Welt verkaufen sich unsere Produkte so gut wie hier.

Die demokratische Staatsform der Schweiz lässt sich als negativer Punkt anführen - wenn es um Cyberbedrohungen geht. Denn in einer Demokratie stehen sich Protektionismus und das Recht auf Privatsphäre diametral gegenüber. So ist es in der Schweiz undenkbar, an jeder Straßenecke eine Überwachungskamera zu installieren. Oder den gesamten Netzwerkverkehr zu kontrollieren. Oder sich mit einer staatlichen Firewall gegen Angriffe aus dem Ausland zu schützen. Die Schweizer Bürger würden jede dieser Aktionen als Einschränkung ihrer Privatsphäre an­sehen und sich wehren. Weiter ist die Schweiz ein föderal organisierter Staat, was auch Nachteile mit sich bringt. Denn im Kampf gegen das organisierte Cyberverbrechen ist jede Gemeinde, jeder Kanton und jedes Bundesamt zunächst einmal auf sich allein gestellt. In einem zentralistischen Staat würde ein Departement die Abwehr von Angriffen übernehmen oder zumindest koordinieren.

Beloussov: Ja genau. Zusätzlich zur Firmenzentrale in Singapur haben wir 2008 den Standort Schaffhausen eröffnet. Wir schätzen die Schweiz als stabiles und transparentes Land mit hohen demokratischen Werten. Die Herausforderung ist mittlerweile überall, genügend gute Leute zu finden. Die etwas mehr als 50 Angestellten machen den Standort zu einer kleinen Niederlassung, obwohl es eine Firmenzentrale ist. Global arbeiten rund 1500 Menschen für Acronis. Viele sind sehr spezialisiert, was die Kandidatensuche zusätzlich erschwert. Hinzu kommt die geringe Arbeitslosenquote in der Schweiz. Deshalb rekrutieren wir neue Mitarbeiter teilweise auch im grenznahen Ausland - wegen der Sprache hauptsächlich in Deutschland.