Handelsblatt

MenüZurück
Wird geladen.

06.06.2012

13:51 Uhr

Gastkommentar

Die Kollateralschäden von Obamas Stuxnet

VonSandro Gaycken

Der von Bush initiierte und von Obama durchgeführte Angriff auf Iran mittels Stuxnet war nur kurzfristig ein Erfolg. Langfristig hat er gefährliche Nebenwirkungen. Den größte Schaden könnte die US-Wirtschaft erleiden.

Sandro Gaycken von der Freien Universität Berlin gehört zu Deutschlands bekanntesten Spezialisten für IT-Sicherheit. dpa

Sandro Gaycken von der Freien Universität Berlin gehört zu Deutschlands bekanntesten Spezialisten für IT-Sicherheit.

BerlinStuxnets wahrer Name war also Operation "Olympic Games". Die Meldung bestätigt, was aufgrund von Indizien und Gerüchten lange gemutmaßt wurde. Der Angriff gegen die iranische Atomanlage kam aus Amerika. Erfunden wurde er vom Strategic Command, entwickelt vom Geheimdienst NSA (National Security Agency), von Bush initiiert und von Obama durchgeführt. Der strategische Hack sollte Zeit für Diplomatie schaffen und einen israelischen Militärschlag abwenden.

War die Operation ein Erfolg? Die unmittelbaren Ziele wurden erreicht. Für geringe Kosten im unteren Millionenbereich gab es einen messbaren Effekt. Zudem konnte man neue militärische Fähigkeiten und Konzepte testen, erhielt wertvolles Feedback. Aber das ist nur die enge, die operative Sicht. Aus größerer Perspektive stellen sich die Wirkungen von Stuxnet komplexer und problematischer dar. Zum Nachteil der USA.

Sicherheitstipps für PC und Mac

Datensparsamkeit

Nutzer von Internetdiensten sollten sparsam mit Daten umgehen und nur so viel Informationen preisgeben wie nötig. Man kann sich durchaus auch mit einem Anbieter in Verbindung setzen und fragen, warum er unbedingt eine bestimmte Information braucht.

Überlegen Sie sich grundsätzlich, ob es notwendig ist, sich bei einem bestimmten Dienst mit Daten anzumelden. Verlangen Sie von Diensten, die Sie nicht mehr nutzen die Löschung Ihrer personenbezogenen Daten. Sofern das Unternehmen die Daten – beispielsweise für Abrechnungen – nicht mehr benötigt, ist es dazu verpflichtet, die Daten auf Wunsch zu löschen. Sie können sich dabei auf das Bundesdatenschutzgesetz berufen.

Software-Updates einspielen

Wenn Sicherheitslücken ausgenutzt werden, befinden sich diese heutzutage nur noch selten im Betriebssystem selbst, sondern viel häufiger in installierter Standard-Software wie dem Webbrowser, Adobe Acrobat Reader oder Adobe Flash. Die drei genannten und besonders gefährdeten Anwendungen können selbst aktiv Inhalte ausführen und sind daher für Attacken beliebt. Achten Sie daher darauf, dass nicht nur das Betriebssystem regelmäßig aktualisiert wird, sondern auch Ihr Webbrowser sowie die installierte Standard-Software wie PDF-Betrachter und Flash-Plugin.

Sämtliche installierte Software auf Aktualität und Sicherheitslücken zu prüfen, ist ohne Hilfe natürlich eine Herkulesaufgabe. Zum Glück gibt es die kostenlose Software Secunia Personal Software Inspector (PSI). PSI sucht automatisch nach veralteter Software. Mit dem Menüpunkt „Secure Browsing“ lässt sich außerdem nach veralteten Browser-Erweiterungen suchen. Übrigens sind diese Erweiterungen auch der häufigste Grund für Abstürze von Browsern – weniger ist daher meist mehr.

Anti-Viren-Lösung

Viren und Würmer gefährden die Daten-Sicherheit. Daher sind Präventionsmaßnahmen angeraten. „Viel hilft viel“ ist hier allerdings nicht angesagt, da sich verschiedene Anti-Viren-Scanner gegenseitig stören. Optimal ist daher die Kombination aus drei Schutzarten. Installieren sollte man eine Personal Firewall, die ein- und ausgehende Verbindungen kontrolliert und einen Virenscanner, der mit seinen Virensignaturen bekannte Schädlinge stoppt; außerdem sollte die Schutz-Software heuristische Methoden einsetzen, die auch unbekannte Schädlinge aufgrund des Verhaltens erkennt. Anti-Virus-Lösungen gibt es nicht nur für Windows-Rechner, sondern auch für Macs.

Verhalten

Mac und Windows

Noch wichtiger als ein stets aktueller Virenschutz ist allerdings das Verhalten des Nutzers: Führen Sie keine Dateien aus dubiosen Quellen aus und öffnen Sie keine Anhänge von E-Mails, die Ihnen seltsam vorkommen.

Festplatte verschlüsseln

Mac und Windows

Wenn wichtige geschäftliche oder private Daten in falsche Hände geraten, können große Schäden entstehen. Die Gefahr ist insbesondere bei mobilen Rechnern groß. Von daher ist es ratsam, sensible Daten zu verschlüsseln. Als besonders sicher gilt die kostenlose Software TrueCrypt, die für Windows, Linux und Mac OS X verfügbar ist. Damit können sowohl einzelne Ordner als auch die gesamte Festplatte verschlüsselt werden. Selbst das FBI hat sich an TrueCrypt schön die Zähne ausgebissen: Nach fast einem Jahr musste die US-Behörde die Festplatte eines brasilianischen Bankiers zurückgeben – nach wie vor verschlüsselt. 

Haupteinfallstor E-Mail-Account

Jedem ist bewusst, dass die Nutzerkonten bei Amazon, Ebay oder Paypal durch ein langes und sicheres Passwort geschützt sein sollten. Der beste Schutz dort nützt aber nichts, wenn nicht auch das E-Mail-Konto gut abgesichert ist. Hat sich ein Angreifer Zugang zum Posteingang verschafft, kann er auch ohne großen Aufwand auf alle weiteren Nutzerkonten zugreifen, indem er sich einfach neue Passwörter zuschicken lässt – egal ob bei Ebay oder anderen Services im Web.

Passwörter

Grundsätzlich ratsam ist es, nicht nur sichere Passwörter zu verwenden, sondern auch immer unterschiedliche bei verschiedene Diensten. Mit den einmal geklauten Login-Informationen lassen sich ansonsten Benutzerkonten auf Einkaufs-Websites, bei Reiseanbietern oder anderen Dienstleistern öffnen und widerrechtlich nutzen.

Wie so häufig beim Thema Sicherheit steht dabei jedoch die Bequemlichkeit im Weg: Wie nur soll man sich mehrere Passwörter merken, die auch noch sicher sind – das heißt keine Wörter, die man im Duden findet und möglichst noch mit Sonderzeichen?

Dafür gibt es einen Trick: Statt eines kryptischen Wortes merken Sie sich einfach einen sinnvollen Satz, der für Sie eine Bedeutung hat. Das Passwort besteht dann auf den jeweiligen Anfangsbuchstaben des Satzes – bei Beachtung der Groß- und Kleinschreibung. Ein Beispiel wäre der Satz: Meinen Rechner mache ich mit einem komplizierten Passwort sicher. Als Passwort wird daraus: MRmimekPs – ein Wort, das Sie garantiert in keinem Lexikon finden.

Auf sichere Datenübertragung achten

Wann immer sensible Informationen im Web übertragen werden, sollte unbedingt darauf geachtet werden, dass es sich um eine verschlüsselte SSL-Verbindung handelt. Das erkennen Sie daran, dass die Webadresse im Adressfeld mit https:// beginn statt http://. Aktuelle Versionen der gängigen Browser Firefox, Internet Explorer, Chrome, Opera und Safari überprüfen dabei automatisch, ob der Anbieter der verschlüsselten Verbindung auch der ist, für den er sich ausgibt. Wichtig ist dabei, die jeweils neueste Version des Browsers zu verwenden. Diese haben einen Phishing-Schutz eingebaut, der die meisten Websites erkennt, die nicht das sind, was sie vorgeben.

Entscheidend ist, dass erst der Wurm selbst und jetzt der Urheber versehentlich bekannt geworden sind. Das ist ein ausschlaggebendes Detail. Wäre die gesamte Operation erfolgreich "covert" gewesen, wäre der strategische Gewinn direkt und sauber geblieben. So aber sind Kollateralschäden entstanden. Einmal unmittelbar operativ. Der Iran weiß, dass er systematisch angegriffen wird. Statt einer Deeskalation wird eine Eskalation ausgelöst. Der Raum für Verhandlungen ist kleiner geworden statt größer. Der Vorteil der gewonnenen Zeit wird sich hier relativieren. Schlimmer aber als die unmittelbaren Folgen in Iran sind die größeren strategischen Nebenwirkungen weltweit. Stuxnet stieß mitten in eine verstärkte theoretische Beschäftigung mit dem Thema Cyberkrieg.

Super-Spion: Was steckt wirklich hinter Flame?

Super-Spion

Was steckt wirklich hinter Flame?

Ist die Schadsoftware eine neue Wunderwaffe im Cyberwar oder die mediale Aufregung größer als gerechtfertigt? Fragen und Antworten zu der wohl ausgefeiltesten Spionage-Software aller Zeiten.

Das Erscheinen des Angriffs war für die Community so etwas wie die Landung eines Ufos für Ufologen. Eine echte Sensation. Ein Blick in eine Welt, die im Geheimen lag und über die sonst nur spekuliert werden konnte. Das war eine wichtige Wende. Die Veröffentlichung des Wurms lieferte den Beweis: Diese Form der Kriegsführung existiert - schon jetzt und nicht erst in irgendeiner diffusen Zukunft. Das gibt den Diskussionen Gewicht, bringt sie in die Weltöffentlichkeit und in die Weltpolitik. Die Weltpolitik stellte schnell zwei Dinge fest. Einmal, dass die Verteidigung gegen solche Angriffe schwer ist. Und im Umkehrschluss, dass Offensivfähigkeiten außerordentlich interessant sind.

Kommentare (5)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

barheine

06.06.2012, 14:40 Uhr

Dabei gibt es schon lange Best-practices, um technische Systeme vor Virenattacken zu schützen: Die Anzahl der möglichen Angriffspunkte minimieren, Zugriffsrechte der Anwendung einschränken, diverse Abwehrstrategien implementieren, Systeme möglichst einfach halten etc. Man muss sie nur konsequent genug anwenden. 100%-ige Sicherheit wird es nie geben, aber man muss den Hackern die Arbeit ja nicht auch noch erleichtern, indem etwa vom Hersteller die Debug-Version einer Steuerungssoftware im Endprodukt ausgeliefert wird.

Mouse

06.06.2012, 14:54 Uhr

Sehr schön,
die Amis haben sich selbst ins Knie gefi... (sorry für diesen ordinären Gedanken, aber weniger drastisch ausgedrückt würde es meine Empfindungen zum Verhalten der Amerikaner auf und gegen den Rest der Welt (außer Israel) nicht treffen)

Demokrat

06.06.2012, 16:09 Uhr

Der Begriff Cyberkrieg legt den Staat als Handelnden nahe.

Aber wer sollte sich um die Sicherheit der IT-Systeme kümmern?
- Staaten mit einer Bürokratie
- Manager in den Firmen
Warum sollte man den handelnden Personen vertrauen?

Es gibt keinen Cyberkrieg, wenn die Möglichkeiten dazu stetig
beseitigt werden.

Vermutlich ist ein dezentraler Ansatz dazu optimal.
Analog zur Abmahnung sollte *jeder* einen möglichen Schadensfall
demonstrieren können und dafür eine Belohnung bekommen.

Heute werden werden solche Aktionen bestraft!

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×