Im Dunst der Wolke

Hier spricht vor rund 100 gut zahlenden Konferenzteilnehmern der amerikanische Buchautor über Datensicherheit, Eugene Schultz.

Er kritisiert, dass inzwischen alle Hersteller kommerzieller Antiviren-Software ihre Pakete zum Schutz von Firmennetzwerken aus dem Programm nahmen und sich nur noch auf Privat-PCs konzentrieren. Dabei seien gerade Computernetze von Industrie und Behörden heute mehr denn je einer Flut von Spams, Trojanern und gezielten Hackerangriffen ausgesetzt. Es sei ein Skandal, dass gerade die böswilligsten Angriffe oft erst dann bemerkt würden, wenn es zu spät sei. Eine Bank in New Jersey habe zehn Monate lang, die Universität von Kalifornien sechs Monate lang sensible Daten von außen kopieren lassen, ohne es zu merken. Angesichts dessen, sagte Eugene Schultz am Montag in Amsterdam, sei das "Cloud Computing" ein böser Hype. Daten vom einigermaßen gesicherten, verkabelten Firmennetzwerk hoch in 'die Wolke', also in virtuelle Maschinen irgendwo im Internet zu verlagern, sei ein unguter Trend.

"Mich wundert es, wie selbst die Europäer mit ihrer strengen Datenschutzpolitik sich auf das Cloud Computing stürzen. Sie machen das natürlich, um Geld zu sparen. Aber dem Cloud-Gedanken fehlt jegliches Sicherheitskonzept. Nur wer besonders fahrlässig handeln will, speichert seine Daten in der Wolke und lässt die Wolke für sich rechnen. Man kann im Moment nichts Gefährlicheres tun. Sie wissen ja nicht einmal, in welcher geografischen Region sich die Server befinden, denen sie ihre Daten anvertrauen!"

Kurz vor Schultz hatte die englische Kriminalkommissarin Charlie McMurdie vor voll besetztem Saal gesprochen. Sie leitet das britische e-Crime Programm und beklagt, dass die Polizei mit ihren über 200.000 Angestellten nur 300 Computerexperten habe, von denen fast alle, nämlich 250, nicht mit Datensicherheit, sondern mit dem 'Grading of paedophila' beschäftigt seien, also der Entscheidung, ob im Internet gefundenes Bild- und Filmmaterial dem Straftatbestand der Kinderpornografie genüge oder nicht.

Charlie McMurdies Sicherheitsleute haben zurzeit alle Hände voll zu tun, die Olympischen Spiele in London 2012 zu schützen. Die Fälle betrügerischer Kartenvorverkäufe, die Hacker-Drohungen gegen Sponsoren, würden inzwischen national relevanten Schaden anrichten. Immerhin, so die Kommissarin, sei die Zusammenarbeit der Polizeibehörden auf europäischer Ebene heute sehr gut. Man könne Hacker, die ihre IP-Adressen verschleiern, über mehrere Länder hinweg dingfest machen.

Der Hacking-Workshop von Peter Wood gehörte zu den Höhepunkten der ISACA-Konferenz. Wood ist ein gefragter englischer Sicherheitsberater und spürt mit fast primitiven Techniken Lücken in der Abwehr von Firmennetzen auf. In der Fachsprache gesprochen 'pingt' er mit kostenlosen 'Sniffer'-Programmen Server an, errät mit geringem Kombinationsaufwand Administatoren-Passwörter, interpretiert Cookies im Browser. Mit diesem 'ethischen Hacking' zeigt er seinen Kunden bei Behörden und in der Industrie, wo sie am leichtesten angreifbar sind.

Banken können sich diese Schwächen nicht leisten. Peter Wood sieht aber auch hier Schwachstellen, vor allem bei den "Man-in-the-Browser-Angriffen", wo sich der Online-Banker auf vermeintlich harmlosen Webseiten Trojaner einfängt.

"Über solche 'Man-in-the-Browser-Angriffe' schleichen sich Hacker ins Online-Banking ein. Außerdem müssen wir uns die interne Struktur von Banken ansehen, etwa: Mit welchen Call-Centern, vielleicht Call-Centern im Ausland, hat die Bank welche Verbindungen und Verträge?"