Würzburg – Am 5. Februar 2019 ist der internationale Safer Internet Day. Wissenschaftler der Universität Würzburg forschen an neuen Wegen, Kommunikationsnetze sicherer zu machen. Ihre Entwicklungen sind viel versprechend.
„Softwarefehler bei iPhones ermöglicht Lauschangriffe“. „Mehr als 2 Milliarden E-Mail-Adressen und Passwörter zum Download im Netz“. „Hacker erbeuten Daten von bis zu 500 Millionen Gästen der Marriott-Hotels – inklusive Kreditkartendaten“. Drei Meldungen aus den vergangenen Wochen, die mal wieder zeigen: Um die Sicherheit im Internet ist es schlecht bestellt.
Höchste Zeit also für ein Interview mit zwei Wissenschaftlern der Julius-Maximilians-Universität Würzburg (JMU), die sich mit diesem Thema auskennen – passend zum internationalen Safer Internet Day, der in diesem Jahr am 5. Februar stattfindet. Professor Tobias Hoßfeld ist Inhaber des Lehrstuhls Informatik III und Experte für Kommunikationsnetze; Nicholas Gray forscht als wissenschaftlicher Mitarbeiter an Hoßfelds Lehrstuhl und untersucht in seiner Doktorarbeit die Sicherheit von softwaregesteuerten Netzwerken.
Geschäfte mit kritischen Sicherheitslücken
„Man hat keine Vorstellung davon, was tagtäglich an Attacken im Internet passiert“, antwortet Tobias Hoßfeld auf die Frage, ob die Schlagzeilen in den Medien möglicherweise zu stark dramatisieren. Da werden Telefonanlagen angegriffen, um auf Kosten der Opfer ins Ausland telefonieren zu können; private Rechner werden gekapert und für illegale Finanztransaktionen missbraucht; E-Mail-Konten werden gehackt und für den Versand von Spam-Mails genutzt. Und das ist nur die Spitze des Eisbergs.
Tatsächlich hat sich im sogenannten Dark Net längst ein Handelsplatz für Sicherheitslücken in weit verbreiteter Software etabliert, mit denen Angreifer Zugriff auf Computer, Netzwerke und private Daten erhalten. „Allein in 2019 sind 30 solcher kritischen Sicherheitslücken neu angeboten worden, die bis jetzt noch nicht verkauft sind“, sagt Nicholas Gray. Die Anbieter versteigern ihr gefährliches Wissen auf diesem Weg an den Meistbietenden; wer hinter den Käufern steckt – Geheimdienste, Staaten oder Kriminelle – sei unklar. Sicher sei jedoch, dass sie über viel Geld verfügen müssen: „Man mutmaßt, dass diese sogenannten Zero-Day-Exploits, also Angriffsmethoden, gegen die es noch kein Mittel gibt, bis zu Millionen wert sein können“, so Gray.
Fehlerfreiheit ist ohne Hilfe nicht möglich
Den Herstellern dieser lückenhaften Software kann man nach Meinung der beiden Wissenschaftler keine Vorwürfe machen. „Man kann das Internet in seiner Komplexität nicht im Griff haben, und eine fehlerfreie Software ist zwar ein hohes Ziel, das sich allerdings nicht erreichen lässt“, sagen sie. Schließlich seien heutige Programme so umfangreich, dass es eigentlich unmöglich sei, dort keine Fehler zu produzieren.
Und dann gebe es immer wieder Szenarien, an die Entwickler nicht im Traum gedacht hätten, die allerdings dafür verantwortlich sind, dass sich unter extrem seltenen Bedingungen plötzlich eine Lücke auftut, die findige Angreifer nutzen können. Weshalb aktuell laut Nicholas Gray nicht nur PCs und Handys auf der Angriffsliste stehen, sondern jegliche smarte Geräte von der Kameras überGlühbirnen und Fernseher bis zu Autos.
Softwaregesteuerte Netzwerke sind die Zukunft
Einfach hinnehmen wollen die beiden Informatiker diesen Zustand natürlich nicht. Deshalb suchen sie nach Möglichkeiten, die Sicherheit in Kommunikationsnetzen zu verbessern oder – anders formuliert – nach einer Technik, die immer einen Schritt schneller ist als potenzielle Angreifer. Softwaregesteuerte Netzwerke oder, in der Fachsprache Software-defined Networks (SDN), sind eine solche Möglichkeit. Sie gelten deshalb als vielversprechende Zukunftstechnologie im Bereich Netzwerktechnik. „Softwaregesteuerte Netzwerke erlauben es uns, einzelne Datenflüsse gezielt zu betrachten und zu regulieren“, erklärt Nicholas Gray. Damit würde beispielsweise der Drucker tatsächlich nur dann mit dem Rechner Informationen austauschen, wenn er einen Druckauftrag erhält. In der Zeit dazwischen würden keine Daten fließen. Und wenn doch, wäre das ein Hinweis auf einen potenziellen Angriff.
SDN bieten in solchen Fällen die Möglichkeit, auffällige Datenströme zu isolieren und auf ihre Gefährlichkeit hin zu untersuchen. So ließe sich auch feststellen, zu welchen Zwecken eine Schadsoftware unterwegs ist und worauf sie es abgesehen hat – ohne dass sie ihr schädliches Werk tatsächlich ausführen kann.
Wenn der Angreifer von innen kommt
Eine neue Version einer Firewall ist ebenfalls am Lehrstuhl für Kommunikationsnetze in der Entwicklung. „Heutige Firewalls funktionieren wie eine Haustüre: Sie sollen Eindringlinge daran hindern, durch die Türe ins Haus zu kommen. Gelangen die Einbrecher aber auf anderen Wegen ins Innere, versagen sie“, sagt Hoßfeld. Eine Lösung für dieses Problem bieten Firewalls, die auch im Inneren wirken, indem sie dort sämtliche Datenströme kontrollieren. Früher sei diese Variante an ihren hohen Kosten gescheitert. Mit einer Softwarelösung sei sie heute gut realisierbar.
Andere Wege für mehr Sicherheit in Kommunikationsnetzen, an denen Informatiker der JMU arbeiten, sind beispielsweise neue Verfahren zur Qualitätssicherung bei der Entwicklung von Software für netzwerkfähige Geräte. Diese könnten bereits während der Programmierung gefährliche Lücken entdecken und die Entwickler darauf aufmerksam machen. Mit der Ausfallsicherheit kritischer Strukturen – Atomkraftwerke, Energieversorgungsunternehmen, Krankenhäuser – beschäftigt sich ein anderes Projekt. „Die Frage, wie viel Überlast solche Einrichtungen vertragen, will man nicht unbedingt im praktischen Betrieb testen“, erklärt Tobias Hoßfeld. Die beiden Wissenschaftler arbeiten deshalb an Methoden, mit denen sich solche Situationen simulieren und modellieren lassen.
Simple Ratschläge sind am wirksamsten
Und was bleibt dem privaten Anwender, der sein Haus und demnächst auch sein Auto vernetzt, mit dem Smartphone seinen Alltag bewältigt und seine Daten in einer Cloud speichert? Da gelten immer noch dieselben alten Ratschläge, die man eigentlich gar nicht mehr hören kann, sagen Hoßfeld und Gray: Ein „hartes Update-Management fahren“; keine Anhänge in Mails Unbekannter öffnen und auf keine Links klicken; einfache Passwörter vermeiden und für jeden Dienst ein anderes nehmen: Auch wenn es lästig sei, würde das Befolgen dieser Ratschläge das Risiko drastisch minimieren. Ist das wirklich heute immer noch nötig, solche Verhaltensregeln zu erwähnen? Davon sind Hoßfeld und Gray überzeugt. Ihrer Erfahrung nach ist es allzu häufig ein Leichtes, Passwörter für E-Mail- oder Facebook-Konten zu knacken: „Wenn man beispielsweise die Namen und Geburtsdaten der Kinder kennt, hat man in vielen Fällen den Schlüssel schon in der Hand“.